据安全事务,Imperva安全研究人员发现Chrome浏览器上的一款广告拦截插件被攻击者滥用,并利用其搜索Google上的页面Injectmalicious/falseadvertisementson这是一种借助广告注入的欺诈攻击,专门针对一些大型网站。该攻击利用名为AllBlock的广告拦截插件进行,该插件在Chrome和Opera浏览器上广泛使用,这意味着攻击者已经可以在Chrome和Opera浏览器上注入恶意广告。广告注入是将未经授权/不安全的广告插入网页并诱使用户点击它们。这种恶意广告注入目前可以通过多种方式实现,包括使用恶意浏览器扩展、恶意软件和跨站点脚本(XSS)攻击。2021年8月底,安全研究人员发现了一系列分发广告和注入脚本的流氓域,攻击者将它们链接到名为AllBlock的扩展程序。根据Imperva的分析报告,其中之一是hxxps://frgtylik.com/KryhsIvSaUnQ.js,其工作原理如下:远程服务器;remote服务器返回要重定向到脚本的域列表;当用户单击这些更改过的链接时,它们会被劫持到其他页面。具体过程如下图所示:简单来说,浏览器打开的每一个新页面都会注入JavaScript代码,识别并发送网页中的所有链接(即搜索引擎中的查询结果))到远程服务器。这时候服务器会返回一个恶意域名列表来替换原来的合法链接,这样当用户点击其中一个链接时,就会被定向到攻击者的恶意网站。Imperva安全人员继续分析后表示,“在一个名为e.hiddenHref的变量中,恶意JavaScript会使用服务器rats[.]net返回的信息来替换原来的URL。只要用户点击任何修改过的链接,他将被引导到另一个链接。通过这种欺诈性广告注入攻击,每当用户执行特定行为(例如注册或购买产品)时,攻击者就可以从中获利。为此,攻击者使用了多种技术来逃避AllBlock的检测,以及使分析更加困难的操作,例如每100毫秒清除一次调试控制台并排除主要搜索引擎。Imperva安全研究人员还发现,此次攻击可能与之前名为PBot的活动有关,因为它们使用了相同的域名和IP地址。“广告注入是一种不断发展的威胁,几乎可以影响任何网站。当网站被注入广告时,网站的性能和用户体验会立即下降,这意味着网站速度会变慢,用户等待的时间也会更长。也会更长。根据Baymard的研究报告,68.8%的购物车会被用户放弃。这其中的原因有很多,但不可否认的是,广告注入是最关键的原因之一。“此外,广告注入还会对网站造成其他影响,包括用户信任度和忠诚度下降、网站收入减少、内容被屏蔽、转化率降低等。”幸运的是,目前恶意的Ad-BlockingChrome插件已从WebStore和Opera插件市场下架,以免更多人蒙受损失。
