Исследователи Imperva обнаружили новую кампанию по внедрению рекламы, основанную на блокировщике рекламы под названием AllBlock. Расширение AllBlock было доступно на момент написания для Chrome и Opera в соответствующих интернет-магазинах.
Хотя маскировка рекламного ПО под блокировщик рекламы может показаться нелогичным, на самом деле это разумный поступок. Но давайте сначала посмотрим, что они сделали и как.
AllBlock
Как мы уже упоминали, AllBlock рекламируется на своем сайте как блокировщик рекламы. Он обещает блокировать рекламу, в том числе на YouTube и Facebook.
Когда вы устанавливаете расширение Chrome, запрашиваемые разрешения имеют смысл для блокировщика рекламы.
Несмотря на то, что это может показаться слишком большим, и это почти карт-бланш, любому блокировщику рекламы, который, как вы ожидаете, будет работать эффективно, потребуется полный набор разрешений, по крайней мере, для «чтения и изменения всех ваших данных на всех веб-сайтах».
Imperva обнаружила, что расширение заменяет все URL-адреса на сайте, который пользователь посещает, на URL-адреса, ведущие к аффилированному лицу. Этот метод внедрения рекламы означает, что когда пользователь нажимает на любую из измененных ссылок на веб-странице, он будет перенаправлен на партнерскую ссылку. Посредством этого аффилированного мошенничества злоумышленник зарабатывает деньги, когда происходят определенные действия, такие как регистрация или продажа продукта.
Внедрение рекламы
Внедрение рекламы — это название набора методов, с помощью которых объявления вставляются на веб-страницы без получения разрешения владельцев сайтов и без их оплаты. Вот некоторые из наиболее часто встречающихся тактик:
- Замена существующей рекламы рекламой, предоставленной злоумышленником
- Добавление рекламы на сайты, на которых обычно ее нет
- Добавление или изменение партнерских кодов, чтобы злоумышленник получал деньги вместо партнера, у которого было разрешение размещать рекламу на сайте
Для этого чаще всего используются вредоносные расширения браузера, вредоносное ПО и сохраненные межсайтовые сценарии (XSS).
В данном случае это было вредоносное расширение, использовавшее несколько интересных методов.
Чтобы расширение выглядело легитимным, разработчики фактически реализовали функцию блокировки рекламы. Кроме того, код не был запутан и ничего сразу не кричит вредоносное ПО.
Все URL-адреса посещаемого веб-сайта отправляются на удаленный сервер. Этот сервер отвечает набором URL-адресов, чтобы заменить их. Чтение и замена URL-адресов выполняется расширением, которому были предоставлены соответствующие разрешения.
Чтобы избежать обнаружения, злоумышленник предпринял еще несколько мер, помимо того, чтобы выглядеть безопасным. Вредоносный файл javascript обнаруживает отладку, очищает консоль отладки каждые 100 мс, при этом основные поисковые системы (с особым упором на русские) исключаются.
Заключение
Расширение, обнаруженное командой Imperva, фактически блокирует рекламу, но также запускает фоновый скрипт, который вставляет фрагмент кода JavaScript в каждую новую вкладку, которую пользователь открывает в уязвимом браузере. Конечная цель — заработать деньги, заменив законные URL-адреса на веб-сайте собственными URL-адресами. Эти URL-адреса содержат партнерские коды, поэтому они получают деньги, если вы нажимаете на одну из этих ссылок, и извлекаете выгоду из любых продаж, которые могут быть получены в результате этих кликов.
И, как мы уже упоминали ранее, имеет смысл дать блокировщикам рекламы разрешения, необходимые им для выполнения своей работы. Поэтому мы чувствуем необходимость подчеркнуть, что вы должны давать разрешения только тем расширениям, которым вы действительно доверяете, а не только потому, что вы думаете, что они «им» нужны.
