Káros oldalakra irányított át az AllBlock nevű böngészőbővítmény

 

Az Imperva kutatói 2021. augusztus végén fedeztek fel egy rosszindulatú hirdetésbefecskendező kampányt, amely az AllBlock nevű rosszindulatú hirdetésblokkolót használta. A böngészőbővítmény Chrome és Opera böngészőben is elérhető volt, szerencsére azóta már eltávolításra került. A böngésző pluginbe rejtett káros JavaSript kód úgy működött, hogy lekérte a böngészőbe betöltött weboldal összes hivatkozását ─ beleértve az oldal URL-jét is ─ majd ezt elküldte egy, a támadók irányítása alatt álló távoli szervernek. A szerver erre azon tartományok listájával válaszolt, amikre a támadó a legitim hivatkozásokat le akarta cserélni. Ily módon amikor egy felhasználó rákattintott egy ilyen módosított linkre, átirányításra került egy káros weboldalra. A kampány mögött álló elkövetők számos technikát alkalmaznak az elkerülés és a támadási módszer elemzésének ellehetetlenítése céljából, például, hogy 100 másodpercenként törlésre kerül a hibaüzenetek megjelenítésére szolgáló debug console. Az Imperva elemzése szerint egy egyre növekvő fenyegetésről lehet szó, ami nem csupán a weboldalak teljesítményének és a felhasználói élmény romlásához vezet, hanem a támadott oldalak tekintetében felhasználói bizalomvesztéssel is járhat.

(securityweek.co)