Se ha descubierto una nueva campaña engañosa de inyección de anuncios que aprovecha una extensión de bloqueador de anuncios para los navegadores web Google Chrome y Opera, para insertar de manera furtiva anuncios y códigos de afiliados en sitios web, según una nueva investigación de la compañía de seguridad cibernética Imperva.
Los hallazgos se producen después del descubrimiento de dominios deshonestos que distribuían un script de inyección de anuncios a fines de agosto de 2021 que los investigadores conectaron a un complemento llamado AllBlock. Desde entonces, la extensión se ha retirado de los mercados de complementos de Chrome Web Store y Opera.
Aunque AllBlock está diseñado para bloquear anuncios de forma legítima, el código JavaScript se inyecta en cada nueva pestaña abierta en el navegador. Funciona identificando y enviando todos los enlaces en una página web, generalmente en las páginas de resultados del motor de búsqueda, a un servidor remoto, que responde con una lista de sitios web para reemplazar los enlaces genuinos, lo que lleva a un escenario en el que al hacer clic en un enlace, la víctima es redirigida a una página diferente.
«Cuando el usuario hace clic en los enlaces modificados en la página web, será redirigido a un enlace de afiliado. A través de este fraude de afiliados, el atacante gana dinero cuando se llevan a cabo acciones específicas como el registro o la venta del producto», dijeron los investigadores de Imperva, Johann Sillam y Ron Masas.
AllBlock también se caracteriza por una variedad de técnicas destinadas a evitar la detección, incluida la limpieza de la consola de depuración cada 100 ms y la exclusión de los primeros motores de búsqueda.
Imperva dijo que la extensión AllBlock es probablemente parte de una campaña de distribución más grande que puede haber utilizado otras extensiones de navegador y métodos de entrega, con vínculos observados con una campaña anterior de PBot basada en superposiciones en nombres de dominio y direcciones IP.
«La inyección de anuncios es una amenaza en evolución que puede afectar a casi cualquier sitio. Los atacantes usarán cualquier cosa, desde extensiones de navegador hasta malware y adware instalados en los dispositivos de los visitantes, lo que hace que la mayoría de los propietarios de sitios estén mal equipados para manejar dichos ataques», dijeron Sillam y Masas.
«Cuando se utiliza la inyección de anuncios, el rendimiento del sitio y la experiencia del usuario se degradan, lo que hace que los sitios web sean más lentos y difíciles de usar. Otros impactos de la inyección de anuncios incluyen la pérdida de la confianza y la lealtad del cliente, la pérdida de ingresos por la colocación de anuncios, el contenido bloqueado y la disminución de las tasas de conversión», agregaron los investigadores.
