Reklam
Security

Kötü amaçlı Chrome reklam engelleyici, perde arkasına reklamlar enjekte eder

krom

AllBlock Chromium reklam engelleme uzantısının, geliştiriciler için komisyon oluşturan gizli bağlı kuruluş bağlantılarını enjekte ettiği tespit edildi.

Bu uzantı, Chrome’un Web Mağazasında hala mevcuttur ve açılır pencereleri önlemek ve taramayı hızlandırmak için YouTube ve Facebook’a odaklanan bir reklam engelleyici olarak kendini tanıtır.

Ancak, Imperva’daki araştırmacılara göre, uzantı aslında meşru URL’lerin uzantı geliştiricileri tarafından kontrol edilen bağlı kuruluş bağlantılarına yönlendirmesine neden olan aldatıcı bir reklam enjeksiyon kampanyası yürütüyor.

Reklam enjeksiyonu, normalde onları barındırmayan bir web sayfasına reklamlar veya bağlantılar ekleyerek, dolandırıcıların reklamlardan para kazanmasına veya insanları komisyon kazanmak için bağlı sitelere yönlendirmesine izin verme işlemidir.

Reklam enjeksiyon süreci
Reklam enjeksiyon süreci
Kaynak: Imperva

Ağustos 2021’de, Imperva’nın araştırmacıları keşfetti Bir reklam yerleştirme komut dosyası dağıtan önceden bilinmeyen kötü amaçlı etki alanları kümesi.

Bu kötü amaçlı komut dosyası, uzak bir sunucuya meşru URL’ler gönderir ve yanıt olarak yeniden yönlendirme etki alanlarının bir listesini alır. Bir kullanıcı değiştirilmiş bir bağlantıya tıklarsa, kullanıcı farklı bir sayfaya, genellikle bir bağlı kuruluş bağlantısına yönlendirilir.

Reklam enjekte eden komut dosyası, büyük Rus arama motorlarını hariç tutma, hata ayıklama konsolunu her 100 ms’de bir temizleme ve başlatılan Firebug değişkenlerinin aktif tespiti gibi kaçınma tekniklerine bile sahiptir.

Imperva’nın ekibi, AllBlock’a daha derinlemesine bakarak, aradıkları komut dosyasını tarayıcıda açılan her yeni sekmeye kod ekleyen “bg.js”de buldu.

Komut dosyasındaki URL değişiklik kodu
Komut dosyasındaki URL değişiklik kodu
Kaynak: Imperva

Kötü amaçlı komut dosyasını enjekte etmek için uzantı şu adresteki bir URL’ye bağlanır: allblock.netbu, kodu çözülecek ve web sayfasına enjekte edilecek bir base64 kodlu komut dosyası döndürür.

URL değişikliği
Uzantı tarafından enjekte edilen kötü amaçlı kodlanmış komut dosyası

Uzantının geliştiricileri, kodun yürütülmesini karartmak amacıyla kötü amaçlı JavaScript snippet’ine birkaç zararsız nesne ve değişken ekledi.

Uzantının nasıl tanıtıldığı şu anda belirsiz ve Imperva, dolandırıcıların bu kampanyada başka uzantıları da kullanabileceğine inanıyor.

“Muhtemelen komut dosyasının enjekte edilme şeklinden dolayı, bizi bu keşfe yönlendiren saldırının kaynağını bulduğumuza inanmıyoruz. İlk gözlemlediğimiz komut dosyası, AllBlock uzantısının enjekte edildiği uzak bir sunucuya işaret eden bir komut dosyası etiketi aracılığıyla enjekte edildi. Imperva, raporda kötü amaçlı kodu doğrudan etkin sekmeye göndereceğini açıklıyor.

Bu, farklı dağıtım yöntemleri ve daha fazla uzantı kullanabilecek daha büyük bir kampanya olduğuna inanmamıza neden oluyor.” – Imperva.

Ancak, bazı IP ve etki alanı kanıtları, bu uzantıyı en az 2018’den beri aktif olan Pbot kampanyasına bağlıyor.

Bu örnek, tarayıcı uzantılarınızı akıllıca seçmenin ve yalnızca gerekli olanları yüklemenin öneminin bir başka hatırlatıcısıdır.

Bu durumda, bir reklam engelleyici olarak işlevselliği düzgün bir şekilde uygulandığından, AllBlock mükemmel kullanıcı incelemelerine sahiptir. Bununla birlikte, aldatma riskleri getirir ve alışveriş yapanların kafasını karıştırır.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün