Chrome的广告屏蔽插件,竟成了广告注入的“帮凶”

  • A+
所属分类:安全新闻

更多全球网络安全资讯尽在邑安全

据security affairs消息,Imperva安全研究人员发现Chrome浏览器上的某个广告屏蔽插件被攻击者滥用,并借此在谷歌搜索页面上注入恶意/虚假的广告。

Chrome的广告屏蔽插件,竟成了广告注入的“帮凶”

这是一个借助广告注入的诈骗性攻击行为,专门针对一些大型网站。该攻击通过利用一个名为AllBlock的广告屏蔽插件来实现,插件广泛用于Chrome和Opera浏览器上,这意味着攻击者已经可以在Chrome和Opera浏览器上注入恶意广告。

广告注入是将未经授权/不安全的广告插入到网页中,并诱惑用户点击。目前这种恶意广告注入可以通过多种方式实现,包括使用恶意浏览器拓展,恶意软件和跨站脚本(XSS)攻击。

2021年8月底,安全研究人员发现了一系列的广告分发、注入脚本的流氓域,攻击者们将其链接到了一个名为AllBlock拓展插件上。

根据Imperva的分析报告,其中之一是hxxps://frgtylik.com/KryhsIvSaUnQ.js,工作方式如下:

  1. 脚本会把当前页面中所有的链接列表,包括页面完整的URL,发送至远程服务器中;

  2. 远程服务器会返回想要重新定向到脚本的域列表;

  3. 当用户点击这些已经被更改的链接时,就会被劫持到其他的页面。

具体过程如下图所示:Chrome的广告屏蔽插件,竟成了广告注入的“帮凶”

简单来说,JavaScript代码将会被注入到浏览器打开的每一个新页面中,它会识别并将Web页面中的所有链接(即搜索引擎中的查询结果)发送到远程服务器。这时服务器会返回来一个恶意的域列表,以此替代原有合法的链接,这样当用户点击其中一个链接时,就会被定向到攻击者的恶意网站中。

Imperva安全人员继续分析后表示,“在一个名为e.hiddenHref的变量中,恶意的JavaScript会利用服务器ratds[.]net返回的信息替换掉原有的URL。只要用户点击了网页上任何修改过的链接,他就会被定向到另一个链接中。

凭借着这个欺诈性的广告注入攻击中,每当用户出现注册或购买产品等特定的行为时,攻击者就可以从中获取利润。

为此,攻击者使用了几种技术来规避AllBlock的检测,伴随的还有一些增加分析工作难度的操作,例如每100ms清除一次调试控制台,以及排除主要的搜索引擎等。

Imperva安全研究人员还发现,该攻击行为可以和此前一个名为PBot活动联系起来,因为他们使用了相同的域名和IP地址。

“广告注入是一种不断演变的威胁,几乎可以影响到所有的网站。当一个网站被广告注入时,网站的性能和用户体验会马上下降,这意味着网站的速度会降低,用户等待的时间也会更长。根据Baymard的研究报告,68.8%购物车会被用户舍弃,其中有很多原因,但不可否认的是,广告注入是其中最关键的原因之一。”

“此外,广告注入还会给网站带来其他的影响,包括用户的信任度和忠诚度下降,网站收入也会因此下降,内容会被屏蔽,转换率也会降低。”

值得庆幸的是,目前恶意的Ad-Blocking Chrome插件已经从WebStore和 Opera插件市场中删除,避免更多的人因此而遭受损失。

原文来自: freebuf.com

原文链接: https://securityaffairs.co/wordpress/123488/cyber-crime/ad-blocking-chrome-extension-allblock.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

Chrome的广告屏蔽插件,竟成了广告注入的“帮凶”

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):Chrome的广告屏蔽插件,竟成了广告注入的“帮凶”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: