Chrome的廣告屏蔽插件,竟成了廣告注入的“幫兇”
據security affairs消息,Imperva安全研究人員發現Chrome瀏覽器上的某個廣告屏蔽插件被攻擊者濫用,并借此在谷歌搜索頁面上注入惡意/虛假的廣告。
這是一個借助廣告注入的詐騙性攻擊行為,專門針對一些大型網站。該攻擊通過利用一個名為AllBlock的廣告屏蔽插件來實現,插件廣泛用于Chrome和Opera瀏覽器上,這意味著攻擊者已經可以在Chrome和Opera瀏覽器上注入惡意廣告。
廣告注入是將未經授權/不安全的廣告插入到網頁中,并誘惑用戶點擊。目前這種惡意廣告注入可以通過多種方式實現,包括使用惡意瀏覽器拓展,惡意軟件和跨站腳本(XSS)攻擊。
2021年8月底,安全研究人員發現了一系列的廣告分發、注入腳本的流氓域,攻擊者們將其鏈接到了一個名為AllBlock拓展插件上。
根據Imperva的分析報告,其中之一是hxxps://frgtylik.com/KryhsIvSaUnQ.js,工作方式如下:
- 腳本會把當前頁面中所有的鏈接列表,包括頁面完整的URL,發送至遠程服務器中;
- 遠程服務器會返回想要重新定向到腳本的域列表;
- 當用戶點擊這些已經被更改的鏈接時,就會被劫持到其他的頁面。
具體過程如下圖所示:
簡單來說,JavaScript代碼將會被注入到瀏覽器打開的每一個新頁面中,它會識別并將Web頁面中的所有鏈接(即搜索引擎中的查詢結果)發送到遠程服務器。這時服務器會返回來一個惡意的域列表,以此替代原有合法的鏈接,這樣當用戶點擊其中一個鏈接時,就會被定向到攻擊者的惡意網站中。
Imperva安全人員繼續分析后表示,“在一個名為e.hiddenHref的變量中,惡意的JavaScript會利用服務器ratds[.]net返回的信息替換掉原有的URL。只要用戶點擊了網頁上任何修改過的鏈接,他就會被定向到另一個鏈接中。
憑借著這個欺詐性的廣告注入攻擊中,每當用戶出現注冊或購買產品等特定的行為時,攻擊者就可以從中獲取利潤。
為此,攻擊者使用了幾種技術來規避AllBlock的檢測,伴隨的還有一些增加分析工作難度的操作,例如每100ms清除一次調試控制臺,以及排除主要的搜索引擎等。
Imperva安全研究人員還發現,該攻擊行為可以和此前一個名為PBot活動聯系起來,因為他們使用了相同的域名和IP地址。
“廣告注入是一種不斷演變的威脅,幾乎可以影響到所有的網站。當一個網站被廣告注入時,網站的性能和用戶體驗會馬上下降,這意味著網站的速度會降低,用戶等待的時間也會更長。根據Baymard的研究報告,68.8%購物車會被用戶舍棄,其中有很多原因,但不可否認的是,廣告注入是其中最關鍵的原因之一。”
“此外,廣告注入還會給網站帶來其他的影響,包括用戶的信任度和忠誠度下降,網站收入也會因此下降,內容會被屏蔽,轉換率也會降低。”
值得慶幸的是,目前惡意的Ad-Blocking Chrome插件已經從WebStore和 Opera插件市場中刪除,避免更多的人因此而遭受損失。
