据安全事务报道,Imperva安全研究人员发现,Chrome浏览器上的一个广告拦截插件被攻击者滥用,并利用它向谷歌搜索页面注入恶意/虚假广告。
这是一种借助广告注入的欺诈攻击,专门针对一些大型网站。该攻击是通过使用一个名为AllBlock的广告拦截插件实现的,该插件广泛应用于Chrome和Opera浏览器中,这意味着攻击者已经可以向Chrome和Opera浏览器中注入恶意广告。
广告注入就是在网页中插入未经授权/不安全的广告,引诱用户点击。目前这种恶意广告注入可以通过多种方式实现,包括恶意浏览器扩展、恶意软件和跨站脚本攻击。
2021年8月底,安全研究人员发现了一系列分发广告和注入脚本的流氓域。攻击者将它们链接到一个名为AllBlock的扩展插件。
根据Imperva的分析报告,其中一个是hx XPS://frgtylik . com/kryhsiwasunq . js,工作原理如下:
该脚本会将当前页面中的所有链接列表,包括页面的完整URL,发送到远程服务器;
远程服务器将返回您要重定向到脚本的域列表;
当用户点击这些改变后的链接,就会被劫持到其他页面。
具体流程如下图所示:
简单来说,浏览器打开的每一个新页面都会注入Javascript代码,它会识别网页中的所有链接,并将其发送到远程服务器。这时服务器会返回一个恶意域列表,而不是原来的合法链接,这样当用户点击其中一个链接时,就会被定向到攻击者的恶意网站。
Imperva安全人员继续分析说,“在一个名为e.hiddenHref的变量中,恶意Javascript会用服务器ratds[返回的信息替换原来的URL。]网。只要用户点击网页上任何修改过的链接,就会被导向另一个链接。
有了这种注入攻击的欺诈广告,无论用户何时注册或购买产品等特定行为,攻击者都可以从中获利。
因此,攻击者使用了几种技术来避免AllBlock的检测,并伴随着一些增加分析难度的操作,例如每100ms清除一次调试控制台,排除主要的搜索引擎。
Imperva安全研究人员还发现,这次攻击可以与之前一项名为PBot的活动联系起来,因为他们使用了相同的域名和IP地址。
“广告注入是一种不断演变的威胁,几乎可以影响所有网站。当一个网站被注入广告后,网站的性能和用户体验会立刻下降,这意味着网站的速度会降低,用户等待的时间会更长。根据Baymard的研究报告,68.8%的购物车会被用户抛弃,原因有很多,但不可否认的是,广告注入是最关键的原因之一。”
“此外,广告注入还会给网站带来其他影响,包括用户信任度和忠诚度的降低,网站收入的减少,内容的屏蔽,转化率的降低。"
幸运的是,恶意广告拦截Chrome插件已经从WebStore和Opera插件市场下架,以免更多人遭受损失。
