研究人员英佩瓦发现了一个新的广告注入活动,基于一个名为AllBlock的广告拦截程序。AllBlock扩展可在写的时候为Chrome和Opera在各自的网络商店。

虽然将你的广告软件伪装成广告拦截器似乎有悖常理,但实际上这是一件明智的事情。首先,让我们看看他们做了什么以及如何做。

AllBlock

正如我们提到的,AllBlock在其网站上作为广告拦截器进行宣传。它承诺屏蔽YouTube和Facebook等网站上的广告。

AllBlock网站

当您安装Chrome扩展时,它要求的权限对于adblocker是有意义的。

扩展权限

尽管这似乎是允许的,而且几乎是全权委托,但任何你希望有效工作的adblocker都需要一整套权限,至少“读取和更改所有网站上的所有数据”

Imperva发现的是,该扩展替换了网站上的所有url,用户正在访问的url指向一个附属机构。这种广告注入技术意味着,当用户点击网页上任何修改过的链接时,他们将被重定向到从属链接。通过这种从属欺诈,攻击者赚取金钱时,特定的行动,如注册或销售的产品发生。

Ad注入

广告注入是指在未经网站所有者许可或支付费用的情况下,将广告插入网页的一系列技术。一些最常见的策略是:

  • 用攻击者提供的广告替换现有的广告
  • 在通常没有广告的网站上添加广告
  • 增加或改变联盟代码,使攻击者得到报酬,而不是有许可在网站上做广告的联盟

为了实现这一目标,恶意浏览器扩展、恶意软件和存储跨站点脚本(XSS)是最常见的技术。

在本例中,它是一个恶意扩展,使用了一些有趣的方法。

为了使扩展看起来合法,开发人员实际上实现了广告阻止功能。此外,代码没有被混淆,没有任何东西会立即发出恶意软件的尖叫。

访问的网站中的所有url都被发送到远程服务器。这个服务器用一组url来替换它们。url的读取和替换是由扩展完成的,它被授予这样做的权限。

为了避免被发现,威胁参与者除了看起来无害之外,还采取了一些其他措施。恶意javascript文件检测调试,每100毫秒清除一次调试控制台,并排除主要搜索引擎(特别关注俄罗斯引擎)。

代码的一部分bg.js作为扩展的一部分的脚本向allblock.net/api/stat/ ? id = nfofcmcpljmjdningbllljenopcmdhjf并接收一个带有两个base64编码属性" data "和" urls "的JSON响应。“数据”部分是被注入到受影响的浏览器打开的每个站点的代码,而“url”部分看起来像这样:

“,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,\/al\u video.php?act=ads\u stat*“,“https:\/\/vk.com\/ads\/\/ad.mail.ru\/*”,“https:\/\/ads.adfox.ru\/*”]}

结论

Imperva团队发现的扩展实际上阻止了广告,但它也运行了一个后台脚本,在用户在受影响的浏览器中打开的每个新选项卡中注入一段JavaScript代码。最终目标是通过用自己的URL替换网站上的合法URL来赚钱。这些URL包括会员代码,所以如果你点击其中一个链接,并从这些点击可能产生的任何销售中获益,他们就会得到报酬。

能够阻止YouTube和Facebook等流行社交媒体上广告的广告拦截器对某些用户来说似乎是圣杯。对于那些对广告屏蔽感兴趣但尚未找到合适程序的人,请阅读“如何像专业人士一样屏蔽广告.”

正如我们之前所提到的,给予广告屏蔽者完成工作所需的权限是有意义的。因此,我们觉得有必要强调,您应该只允许那些您真正信任的扩展,而不仅仅是因为您认为“it”需要它们。

广告拦截器运动

Imperva团队在他们的博客上写道,他们相信有一个更大的活动正在进行,可能会利用不同的交付方法和更多的扩展。

在我们自己的Malwa必威平台APPrebytes的研究中,我们发现了一系列广告拦截软件,它们是通过显示类似这样的虚假警报的网站推出的。


如果你一直被这些绊倒,当你点击其中一个,你甚至可能欢迎提供adblocker,对吗?

我们没有发现这些扩展有任何问题,我们还发现它们都在使用公开的Adguard屏蔽列表。所以我们没有跟进,因为和上面描述的一样,它们看起来是合法的。唯一让他们看起来可疑的是,他们是通过这些“假警报”网站推广的。

目前还很难说我们是否一直在追踪同样或类似的活动。因为我还没见过bg.js之前的脚本可能完全不同,但我会尝试联系Imperva团队并比较注释。如果有任何有趣的结果,我们会让您知道。

保持安全,大家好!