Sappiamo tutti perché si installa un ad blocker: l'obiettivo è nascondere i molti, odiosi pop-up che compaiono sui siti quando navighiamo in rete. Ci sono diversi ad blocker disponibili, tutti con recensioni per lo più positive, ma uno di questi non faceva proprio quello che prometteva: anziché togliere le pubblicità né aggiungeva di altre, che portavano guadagni agli sviluppatori.
Il software in questione si chiama AllBlock e, come tanti altri ad blocker, è (o per meglio dire "era", visto che è sparito dalla circolazione) un'estensione del browser Google Chrome. AllBlock prometteva di far sparire tutte le fastidiose pubblicità presenti su Facebook e YouTube e aveva una media voti molto positiva, probabilmente perché effettivamente le bloccava. Tuttavia, come scoperto dai ricercatori di Imperva, l'estensione in realtà faceva ben altro: la pratica si chiama "ad injection" e, in breve, fa sì che degli URL legittimi reindirizzino a dei link affiliati, controllati e gestiti dagli sviluppatori dell'estensione.
La scoperta di Imperva risale allo scorso agosto, quando i ricercatori hanno scovato un gruppo di domini finora sconosciuti che distribuivano uno script di ad injection. Lo script in questione si occupava di inviare degli URL legittimi a un server, ricevendo in risposta un elenco di domini a cui fare redirect. Nel momento in cui un utente cliccava su uno dei link modificati, veniva reindirizzato a una pagina diversa, nella maggior parte dei casi un link affiliato da cui i malintenzionati traevano profitto.
Secondo quanto scoperto dai ricercatori, lo script integrava anche alcuni meccanismi che ne impedivano la scoperta: escludeva buona parte dei motori di ricerca russi, cancellava la console di debug ogni 100ms ed era in grado di scovare attivamente variabili Firebug inizializzate. Lo script è stato scovato all'interno di "bg.js", che inietta del codice ogni volta che una nuova scheda viene aperta nel browser.
Per iniettare lo script, AllBlock si connetteva a un indirizzo su allblock.net, che restituiva uno script codificato in base64, che a sua volta veniva decodificato e iniettato nella pagina web che l'utente stava visitando. Gli sviluppatori dell'estensione hanno perfino aggiunto un buon numero di oggetti e variabili innocue all'interno del codice, nella speranza di rendere più difficile l'identificazione del codice JavaScript malevolo.
Secondo i ricercatori di Imperva, gli sviluppatori di AllBlock potrebbero usare anche altre estensioni per portare avanti la loro campagna. Alcuni degli IP e dei domini scovati fanno riferimento alla campagna Pbot, attiva almeno dal 2018. "Per come venia iniettato lo script, non crediamo di aver trovato l'origine dell'attacco che ci ha condotto a questa scoperta. Il primo script che abbiamo scovato veniva iniettato tramite uno script tag che puntava a un server remoto, dove l'estensione AllBlock iniettava il codice malevolo direttamente nella scheda del browser attiva" ha spiegato Imperva nel report. "Questo ci porta a credere che c'è una campagna più grande in atto, che probabilmente usa diversi metodi di iniezione dello script e diverse estensioni".