Ad-Blocking Chrome-Erweiterung beim Einfügen von Werbung in Google-Suchseiten erwischt

  • Eine neue betrügerische Werbekampagne wurde entdeckt, die eine Werbeblocker-Erweiterung für die Webbrowser Google Chrome und Opera ausnutzt, um heimlich Werbung und Affiliate-Codes auf Webseiten einzublenden, so eine neue Untersuchung des Cybersecurity-Unternehmens Imperva.

    Die Ergebnisse folgen auf die Entdeckung von Rogue-Domains, die Ende August 2021 ein Ad-Injection-Skript verbreiteten, das die Forscher mit einem Add-on namens AllBlock in Verbindung brachten. Die Erweiterung wurde inzwischen sowohl aus dem Chrome Web Store als auch aus dem Opera Add-on-Marktplatz entfernt.

    [Blocked Image: https://thehackernews.com/images/-_qK1yHVo__w/YVHUUsSpIGI/AAAAAAAA4aY/cbPcuH6NoWs085FCBPnEubY4Xg4ehW0nwCLcBGAsYHQ/s728-e100/rewind-3-728.png]

    Während AllBlock darauf ausgelegt ist, Werbung auf legitime Weise zu blockieren, wird der JavaScript-Code in jede neu geöffnete Registerkarte des Browsers injiziert. Er funktioniert, indem er alle Links auf einer Webseite – typischerweise auf Suchmaschinenergebnisseiten – identifiziert und an einen Remote-Server sendet, der mit einer Liste von Websites antwortet, durch die die echten Links ersetzt werden sollen, was zu einem Szenario führt, bei dem das Opfer beim Anklicken eines Links auf eine andere Seite umgeleitet wird.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEiHgS9OC_BU7K5vk4PaOM_SmO56iXkaAFiZPeyd8wBOs97zfsdKnVAnETTtjzxOi2Na20tSWTbBelWVjR5FsTP9kh6qLr95HpfTh1Ccv7LnNjhzYxOW9DH0fsbStTGM1OxOpwkCtVk8Sh5_RgrSh-DOEy1rQPM41A8JVKD4a9lJhuzAaJdAltRbWJdo]

    “Wenn der Benutzer auf einen der modifizierten Links auf der Webseite klickt, wird er zu einem Affiliate-Link umgeleitet”, so die Imperva-Forscher Johann Sillam und Ron Masas. “Über diesen Affiliate-Betrug verdient der Angreifer Geld, wenn bestimmte Aktionen wie die Registrierung oder der Verkauf des Produkts stattfinden.”

    AllBlock zeichnet sich auch durch eine Reihe von Techniken aus, die darauf abzielen, eine Entdeckung zu vermeiden, darunter das Löschen der Debug-Konsole alle 100 ms und der Ausschluss wichtiger Suchmaschinen. Laut Imperva ist die AllBlock-Erweiterung wahrscheinlich Teil einer größeren Verbreitungskampagne, bei der auch andere Browser-Erweiterungen und Verbreitungsmethoden zum Einsatz kamen, wobei aufgrund von Überschneidungen bei Domainnamen und IP-Adressen Verbindungen zu einer früheren PBot-Kampagne festgestellt wurden.

    [Blocked Image: https://thehackernews.com/images/-MWpdqxEQbIE/YWRg-YjZ3mI/AAAAAAAA4ck/omdUbfQA6zU03oApk0aAJTlIu1AL7IOuACLcBGAsYHQ/s728-e100/channel-728-b.png]

    “Ad-Injection ist eine sich ständig weiterentwickelnde Bedrohung, die fast jede Website treffen kann. Die Angreifer nutzen alles, von Browsererweiterungen bis hin zu Malware und Adware, die auf den Geräten der Besucher installiert sind, so dass die meisten Website-Besitzer schlecht gegen solche Angriffe gewappnet sind”, so Sillam und Masas.

    “Wenn Ad-Injection verwendet wird, werden die Leistung der Website und die Benutzerfreundlichkeit beeinträchtigt, wodurch Websites langsamer und schwieriger zu nutzen sind”, fügten die Forscher hinzu. “Weitere Auswirkungen von Ad-Injection sind der Verlust von Kundenvertrauen und -loyalität, Umsatzeinbußen durch Werbeplatzierungen, blockierte Inhalte und verringerte Konversionsraten.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com