Extension ที่ช่วยในการบล็อกโฆษณาชื่อ AllBlock Chromium มีการแอบแทรกลิงก์ที่สร้างรายได้ให้กับนักพัฒนาได้
Extension นี้ยังคงมีอยู่ในเว็บสโตร์ของ Chrome และมีการโฆษณาว่าสามารถบล็อกโฆษณาที่ YouTube และ Facebook เพื่อป้องกันป๊อปอัป และเพิ่มความเร็วในการเข้าใช้งานได้ดีขึ้นอีกด้วย
อย่างไรก็ตาม ตามที่นักวิจัยของ Imperva ระบุ Extension นี้แสดงโฆษณาที่หลอกลวง โดยมีการทำให้ URL ที่ถูกต้องเปลี่ยนเส้นทางไปยังลิงก์ที่สร้างรายได้ให้นักพัฒนา
การแทรกโฆษณา หรือลิงก์ลงในหน้าเว็บ ทำให้ผู้หลอกลวงสร้างรายได้จากโฆษณา หรือเปลี่ยนเส้นทางผู้คนไปยังเว็ปไซต์ในเครือข่ายพันธมิตรเพื่อรับค่าตอบแทน
ในเดือนสิงหาคม พ.ศ. 2564 นักวิจัยของ Imperva ค้นพบชุดโดเมนที่เป็นอันตรายที่ไม่เคยพบมาก่อนหน้านี้ถูกกระจายผ่านสคริปต์การแทรกโฆษณา
สคริปต์ที่เป็นอันตรายนี้จะส่ง URL ที่ถูกต้องไปยังเซิร์ฟเวอร์ที่ผู้ไม่หวังดีสร้างขึ้น เพื่อรับการตอบกลับด้วยโดเมนที่เมื่อผู้ใช้งานเผลอคลิกลิงก์ก็จะถูกนำไปสู่เว็ปไซต์อื่นๆ ซึ่งปกติแล้วจะเป็นลิงก์ในเครือข่ายพันธมิตรเพื่อให้นักพํฒนาได้รับค่าตอบแทน
สคริปต์นี้ยังมีเทคนิคการหลีกเลี่ยงการตรวจจับ เช่น ยกเว้นการทำงานใน Search Engine ของประเทศรัสเซีย, ล้างคอนโซลการดีบักทุกๆ 100 ms และตรวจจับตัวแปร Firebug ที่เริ่มต้นใช้งานอยู่
จากการศึกษาในรายละเอียดของ AllBlock ทีมงานของ Imperva พบสคริปต์ที่ชื่อว่า "bg.js" ซึ่งจะใส่โค้ดลงในแท็บใหม่ทุกแท็บที่เปิดอยู่บนเบราว์เซอร์
ในการแทรกสคริปต์อันตราย Extension จะเชื่อมต่อกับ URL ที่ allblock.net ซึ่งจะคอยส่งสคริปต์ที่เข้ารหัส base64 ที่จะถูกถอดรหัสแล้วแทรกลงในหน้าเว็บ
นักพัฒนาได้เพิ่มอ็อบเจ็กต์ และตัวแปรที่ไม่เป็นอันตรายหลายตัวลงในโค้ด JavaScript ที่เป็นอันตราย โดยพยายามทำให้การเรียกใช้โค้ดนั้นดูซับซ้อน และหลีกเลี่ยงการถูกตรวจจับ
ขณะนี้ยังไม่มีข้อสรุปที่มีความชัดเจนใน Extension นี้ และ Imperva เชื่อว่าผู้หลอกลวงอาจใช้ Extension อื่นๆ ในแคมเปญนี้อีกด้วย
"เราไม่เชื่อว่าเราพบที่มาของการโจมตีจากการค้นพบครั้งนี้ แต่น่าจะเป็นแค่การค้นพบวิธีการแทรกสคริปต์มากกว่า
โดยสคริปต์ที่เราสังเกตเห็นครั้งแรกถูกแทรกผ่านแท็กสคริปต์ที่ชี้ไปยังเซิร์ฟเวอร์ที่ถูกสร้างขึ้น ซึ่ง Extension AllBlock จะแทรกโค้ดที่เป็นอันตรายโดยตรงไปยังแท็บที่ใช้งานอยู่ ซึ่งสิ่งนี้ทำให้เราเชื่อว่ามีแคมเปญขนาดใหญ่ซึ่งอาจจะใช้วิธีการแสดงโฆษณาที่แตกต่างกัน และ Extension อื่นๆ เพิ่มเติม" - Imperva กล่าว
อย่างไรก็ตาม หลักฐาน IP และโดเมนบางส่วนระบุว่า Extension นี้มาจากแคมเปญ Pbot ซึ่งมีการใช้งานมาอย่างน้อยตั้งแต่ปี 2018
กรณีนี้เป็นอีกหนึ่งตัวอย่างที่แสดงถึงความสำคัญของการเลือก Extension ของเบราว์เซอร์ และควรติดตั้งเฉพาะ Extension ที่จำเป็นเท่านั้น
ในกรณีนี้ Extension AllBlock มีความคิดเห็นจากผู้ใช้เป็นบวกซะส่วนใหญ่ เนื่องจากมีการใช้งานฟังก์ชันช่วยบล็อกโฆษณาได้อย่างดี อย่างไรก็ตามมันทำให้เกิดความเสี่ยงในการหลอกลวงในด้านอื่นกับผู้ใช้งานได้
ล่าสุดเมื่อวันที่ 15 ตุลาคม 2564 Google ได้แจ้งให้ทราบว่า Extension นี้ถูกลบออกจาก Chrome เว็บสโตร์เรียบร้อยแล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.