Sikkerhed forskere på AdGuard nylig afsløret nogle interessante resultater vedrørende brugen af falske annonce blok udvidelser. Der er tegn på, at nogle tyve millioner Chrome-brugere er blevet lokket til at downloade og installere rogue browserudvidelser skjult som annonceblokeringssoftware.
Hvad AdGuard har opdaget er, at flertallet af ad blokkere til Google Chrome er i virkeligheden slyngelstater rip-offs af legitime apps. Disse rip-offs er indlejret med skadelig kode med det ene formål at udspionerer brugernes.
Chrome Webshop Oversvømmet med Fake Ad Block udvidelser
Hvordan er angribere efterfølgende til fulde så mange brugere? Forfatterne af de svigagtige udvidelser brugte spam nøgleord og navne, der er tæt på navnene på legitime udvidelser. Eksempler er Adblock Plus Premium og Adguard Hardline. Dette er, hvordan forskerne forklarede det:
Det har været et stykke tid siden anderledes “forfattere” startede spamming Chrome WebStore med dovne kloner af populære ad blokkere (med et par linjer af deres kode oven på dem). Det er, hvordan brugerne kan ende med at installere nogle “benhård Adguard” eller “Adblock Plus Premium” eller noget i den stil. Den eneste måde at bekæmpe det her er at indgive et varemærke overtrædelse misbrug til Google, og det tager dem et par dage til at tage en klon ned.
Ifølge denne forskning, den mindst populære af disse slyngelstater udvidelser blev hentet i det mindste 30,000 gange. Som for den mest populære, tallene er overvældende - mere end 10 million gange. Den samlede længde af disse downloadede tilfælde er ca. 20 millioner, hvilket betyder, at 20 million Chrome browsere på brugernes computere blev ramt i den ene eller anden måde.
Den mest populære af de falske adblocking extensions er AdRemover til Google Chrome. Udvidelsen skabt en enorm botnet af inficerede browsere, som angribere kan bruge som det passede.
AdRemover designet til at skjule ondsindet kode inde i en populær JavaScript bibliotek, som sender oplysninger om de websteder besøgt af den målrettede bruger.
Det er ikke det første tilfælde af slyngelstater ad blok udvidelser findes på Chrome Webshop. Ikke alt for længe siden, den Webshop repository viste sig at funktionen en forfalsket Adblock Plus forlængelse, som er inficeret tusindvis af brugere.
Ifølge forskerne, der opdagede det, en kriminel kollektiv var i stand til at infiltrere butikken til deres egen malware post som efterligner den oprindelige udvidelse på en måde, der gør det næsten umuligt at skelne. De har tyet til at bruge mindre navneændringer (en kapitaliseret ”B” brev) og det samme billede og tekst beskrivelse for at narre brugere til at tro, at deres kopi er den lovlig software. Ved den tid, det er blevet rapporteret sikkerhedseksperter opmærksom på, at varen er blevet hentet mere end 37 000 gange.