悪意の Chrome 広告ブロック:自身のサイトへリダイレクトさせて利益を上げる手口

Malicious Chrome ad blocker injects ads behind the scenes

2021/10/14 BleepingComputer — 広告ブロック拡張機能を提供する AllBlock Chromium だが、開発者に報酬をもたらす隠れたアフィリエイト・リンクが注入されていることが判明した。このエクステンションは、現在も Chrome の Web ストアで販売されており、YouTube と Facebook に特化した広告ブロック機能により、ポップアップを防ぎ、ブラウジングを高速化すると宣伝している。

しかし、Imperva の研究者たちによると、実際のところ、このエクステンションは、開発者が管理するアフィリエイト・リンクへ向けて、正当な URL をリダイレクトさせる欺瞞的な広告インジェクション・キャンペーンを行っているとのことだ。広告インジェクションとは、広告やリンクを掲載していない Web ページに対して、広告やリンクを挿入することで、詐欺師による広告の操作や、アフィリエイト・サイトによる手数料の搾取などが生じることになる。

2021年8月に Imperva の研究者たちは、これまで知られていなかった一連の悪意のドメインが、広告インジェクション・スクリプトを配布しているのを発見した。
この悪意のスクリプトは、正当な URL をリモートサーバーに送信し、その応答としてリダイレクト・ドメインのリストを受け取る。そして、改ざんされたリンクをユーザーがクリックすると、別のページ (通常はアフィリエイトリンク) へとリダイレクトさせるものだ。

この広告インジェクション・スクリプトは、ロシアの大規模な検索エンジンの除外や、100ミリ秒ごとのデバッグ・コンソールのクリア、初期化された Firebug 変数の積極的なチェックといった、検出を回避するための技術も備えている。

Imperva チームは、AllBlock を詳しく調査した結果として、「bg.js」内に目的のスクリプトを発見した。このスクリプトは、ブラウザで開かれた全ての新しいタブにコードを注入する。このエクステンションは、悪意のスクリプトを注入するために、allblock.net の URL に接続し、base64 でエンコードされたスクリプトを返し、それをデコードして Web ページに注入していた。

また、このエクステンションの開発者は、コード実行を隠蔽するために、悪意の JavaScript スニペットに対して、いくつかの無害なオブジェクトや変数を追加しています。このエクステンションの宣伝/配布については、現在のところ詳細が不明だが、詐欺師たちは同じキャンペーンにおいて、他のエクステンションも利用している可能性があると、Imperva は考えている。

Imperva は、「今回の発見につながる攻撃の起源は、見つけられなかったと考えているが、その原因は、おそらくスクリプトの注入方法に起因している。我々が最初に観測した AllBlock エクステンションのスクリプトは、アクティブなタブに悪意のコードをダイレクトに注入するために、リモートサーバーを指す script タグを介していた。
このことから、異なる配信方法や、より多くのエクステンションを利用した、大規模なキャンペーンが行われている可能性があると」と述べている。

しかし、一部の IP やドメインの証拠から、この拡張子は 2018年から活動している Pbot キャンペーンのものであるとも考えられる。今回のケースは、ブラウザのエクステンションを賢く選び、必要なものだけをインストールすることの重要性を、改めて認識させるものとなった。なお、AllBlock には広告ブロックとしての機能が適切に実装されているため、優れたユーザー・レビューを集めている。それにもかかわらず、欺瞞のリスクをもたらし、ユーザーを混乱させている。

広告ブロックが便利なのは、遅いアドサーバーを排除できるから、、、という個人的な理由がありますが、その広告ブロックがマルウェアだとすると、とても腹の立つ話になります。でも、広告がマルウェアでは無いという証明もありませんので、インターネットの安全は自分で考えるべき問題なのでしょう。Chrome Web Store を調べてみましたが、さすがに、この AllBlock は見つかりませんでした。というより、Chrome Web Store への入り口が、とても分かり難くなっていました。エクステンションの質に関しては、Google も悩んでいるのでしょう。

%d bloggers like this: