هشدار کارشناسان درباره‌ی کشف تبلیغات مخرب در افزونه‌ی ادبلاک کروم

امنیت کروم

محققان درباره‌ی تزریق تبلیغات (Ad injection) مخرب توسط یک افزونه‌ی ادبلاک گوگل کروم در صفحات جست‌وجوی گوگل هشدار داده‌اند.

محققان شرکت ایمپروا (Imperva) کمپین مخرب و گمراه‌کننده‌ی جدیدی در افزونه‌ی ادبلاک AllBlock شناسایی کرده‌اند. این افزونه کاربران تعداد زیادی از وب‌سایت‌های بزرگ را در مرورگرهای کروم و اپرا هدف قرار می‌دهد.

در تزریق تبلیغات (Ad Injection)، تبلیغات غیرمجاز و مخرب در یک صفحه وب نمایش داده می‌شود، به طوری که کاربران را فریب می‌دهد تا روی آن کلیک کنند. تزریق تبلیغات از راه‌های مختلفی انجام می‌شود؛ مثلاً از طریق افزونه‌های مخرب مرورگرها، یا بدافزارها یا حتی حملات XSS.

محققان مجموعه‌ی بزرگی از دامین‌های غیرمجاز کشف کرده‌اند که در آگوست 2021 نوعی اسکریپت تزریق تبلیغات را توزیع کرده‌اند؛ اسکریپتی که به اعتقاد آن‌ها به افزونه Allblock ارتباط داشته است.

در گزارش شرکت ایمپروا آمده است:

«یکی از این دامین‌ها hxxps[:]//frgtylik[.]com/KryhsIvSaUnQ[.]js است که از طریق زیر عمل می‌کند:
1. اسکریپت لیستی از تمامی لینک‌هایی که در صفحه‌ی مورد نظر قرار دارند، حتی لینک URL کامل صفحه را به ریموت سرور می‌فرستد.
2. سرور لیست دامین‌هایی را که می‌خواهد در اسکریپت جایگزین کند، می‌فرستد.
3. زمانی که کاربر روی لینک جایگزین‌شده کلیک کند، به صفحه‌ی متفاوتی رانده می‌شود.»

تزریق تبلیغات

با قدرتمندترین آنتی‌ویروس‌های دنیا از اندپوینت‌های خود محافظت کنید! 

کد جاوااسکریپت به تمامی تب‌های باز در مرورگر مورد نظر تزریق می‌شود. این کد تمامی لینک‌های یک صفحه وب (مثلاً نتایج جست‌وجوی یک موتور جست‌وجو) را شناسایی می‌کند و برای ریموت سرور می‌فرستد. در پاسخ، سرور لیستی از دامین‌های مورد نظرش را برای جایگزینی با لینک‌های واقعی می‌فرستد. وقتی که کاربر روی یکی از لینک‌ها کلیک کند، از صفحات مورد نظر مهاجمان سر در می‌آورد.

در ادامه‌ی گزارش مذکور آمده است:

« کد جاوااسکریپت آلوده‌،URL جعلی را بر اساس اطلاعاتی که سرور ratds[.]net. فرستاده است، در یک متغیر به نام e.hiddenHref ذخیره می‌کند. وقتی کاربر روی هر کدام از لینک‌های آلوده کلیک کند، به لینک تبلیغاتی مورد نظر مهاجم هدایت می‌شود. وقتی در لینک مورد نظر محصولی فروش برود یا ثبت‌نامی انجام شود، مهاجم از طریق همین تبلیغات جعلی پول به جیب می‌زند».

محققان ایمپروا این کمپین را با کمپینی قدیمی‌تر به نام کمپین PBot که دامین‌ها و IP آدرس‌های مشابه را به کار می‌برد‌ه‌اند، مرتبط دانسته‌اند. این کارشناسان در پایان گزارش گفته‌اند:

«تزریق تبلیغات، تهدیدی در حال رشد است که می‌تواند تقریبا هر سایتی را تحت تاثیر قرار ‌دهد. تزریق تبلیغات روی عملکرد سایت و تجربه‌ی کاربران تاثیر منفی گذاشته و استفاده از وب‌سایت‌ قربانی را کندتر و سخت‌تر می‌کند. موسسه Baymard اعلام کرده است که 68 درصد از سبدهای خرید آنلاین نیمه‌کاره رها می‌شوند. دلایل زیادی برای این مسئله وجود دارد، اما یکی از مهم‌ترین دلایل قطعاً همین تزریق تبلیغات است. از دست رفتن اعتماد کاربران، کاهش درآمد به خاطر جایگزینی‌ تبلیغات، بلاک‌شدن محتوا، کاهش نرخ تبدیل و… از دیگر تاثیرات تزریق تبلیغات است.»

این افزونه‌ی مخرب از وب‌استور مرورگرهای کروم و اپرا حذف شده‌ است.

کارشناسان اطلاعات IoC (Indicators of Compromise) مرتبط با این کمپین را نیز منتشر کرده‌اند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *