据security affairs消息,Imperva安全研究人员发现Chrome攻击者滥用浏览器上的广告屏蔽插件,并在谷歌搜索页面上注入恶意/虚假广告。
这是一种借助广告注入的欺诈性攻击,专门针对一些大型网站。该攻击使用一个名称AllBlock实现广告屏蔽插件,插件广泛应用Chrome和Opera这意味着攻击者可以在浏览器上Chrome和Opera在浏览器上注入恶意广告。
广告注入是将未经授权/不安全的广告插入网页,诱使用户点击。目前,这种恶意广告注入可以通过使用恶意浏览器扩展、恶意软件和跨站脚本等多种方式实现(XSS)攻击。
20212008年8月底,安全研究人员发现了一系列广告分发和注入脚本的流氓领域,攻击者将其链接到一个名为AllBlock拓展插件上。
根据Imperva其中一份分析报告是hxxps://frgtylik.com/KryhsIvSaUnQ.js,工作方式如下:
- 脚本将在当前页面中列出所有链接列表,包括完整的页面URL,发送到远程服务器;
- 远程服务器将返回要重新定位到脚本的域列表;
- 当用户点击这些已更改的链接时,它们将被劫持到其他页面。
具体流程如下图所示:
简单来说,JavaScript该代码将被注入浏览器打开的每个新页面,它将被识别将其注入Web页面中的所有链接(即搜索引擎中的查询结果)都发送到远程服务器。此时,服务器将返回恶意域列表,以取代原始的法律链接,以便当用户点击其中一个链接时,它将被定向到攻击者的恶意网站。
Imperva安全人员继续分析后表示,“在一个名为e.hiddenHref恶意的变量JavaScript将使用服务器ratds[.]net返回的信息取代了原始信息URL。只要用户点击网页上的任何修改链接,他就会被定向到另一个链接。
凭借着这个欺诈性的广告注入攻击中,每当用户出现注册或购买产品等特定的行为时,攻击者就可以从中获取利润。
为此,攻击者使用了几种技术来避免AllBlock检测伴随着一些增加分析难度的操作,比如每次100ms清除调试控制台和主要搜索引擎。
Imperva安全研究人员还发现,这种攻击可以和以前一样命名PBot因为他们使用相同的域名,所以活动联系在一起IP地址。
“广告注入是对几乎所有网站进化的威胁。当一个网站被广告注入时,网站的性能和用户体验会立即下降,这意味着网站的速度会降低,用户会等待更长的时间。Baymard研究报告,68.8%户放弃购物车的原因有很多,但不可否认的是,广告注入是最关键的原因之一。”
“此外,广告注入还会对网站产生其他影响,包括用户信任和忠诚度的下降、网站收入的下降、内容的屏蔽和转化率的下降。”
幸运的是,目前恶意Ad-Blocking Chrome插件已经从WebStore和 Opera删除插件市场,以避免更多的人遭受损失。