O bloqueador de anúncios AllBlock Chromium, que funcionava como uma extensão do Google Chrome, estava, na realidade, fazendo exatamente o oposto do trabalho prometido: injetando links de anunciantes ocultos, que geravam comissões para os desenvolvedores da ferramenta. A extensão, que se encontrava disponível na Chrome Web Store, era anunciada como um ad blocker especializado em YouTube e Facebook.
Pesquisando, desde o mês de agosto, um novo conjunto de domínios maliciosos distribuindo livremente um código de injeção de anúncios, a empresa de segurança cibernética Imperva finalmente encontrou o script malicioso em um arquivo “bg.gs” (característico do Google Apps Script). Curiosamente, o fragmento JavaScript estava “camuflado” entre variáveis inócuas do AllBlock.
No entanto, o malware não levava o usuário a páginas de anúncios, mas fazia com que URLs legítimos, assim que abertos, fossem redirecionados para links afiliados controlados pelos desenvolvedores do suposto “bloqueador”. Com isso, anúncios ou links passavam a ser inseridos em páginas da web confiáveis que normalmente não hospedam esse tipo de publicidade.
Fonte: Chrome Web Store/DivulgaçãoFonte: Chrome Web Store
Como funciona a injeção de anúncios?
A injeção de anúncios é um processo de inserir anúncios não desejados e não autorizados em uma página da web que não os hospedou, fazendo com que um usuário que confia na página acabe clicando neles. A operação só é rentável obviamente para os golpistas que enganam os usuários duas vezes: quando instalam um bloqueador que injeta anúncios, e quando clicam em anúncios espúrios supostamente divulgados por páginas confiáveis.
Curiosamente, o AllBlock apresentava análises excelentes dos usuários, porque a sua funcionalidade original de bloqueador de anúncios funcionava muito bem. Porém, a cada abertura de página, ele se conectava a uma URL hospedada no site allblock.net, que devolvia um script codificado no algoritmo base64, que era então decodificado e injetado na página que estava em uso.
Tanto a extensão quanto a página da web suspeitas encontram-se bloqueadas no momento.
Source link