據security affairs消息，Imperva安全研究人員發現Chrome瀏覽器上的某個廣告屏蔽插件被攻擊者濫用，并借此在谷歌搜索頁面上注入惡意/虛假的廣告。

這是一個借助廣告注入的詐騙性攻擊行為，專門針對一些大型網站。該攻擊通過利用一個名為AllBlock的廣告屏蔽插件來實現，插件廣泛用于Chrome和Opera瀏覽器上，這意味著攻擊者已經可以在Chrome和Opera瀏覽器上注入惡意廣告。

廣告注入是將未經授權/不安全的廣告插入到網頁中，并誘惑用戶點擊。目前這種惡意廣告注入可以通過多種方式實現，包括使用惡意瀏覽器拓展，惡意軟件和跨站腳本(XSS)攻擊。

2021年8月底，安全研究人員發現了一系列的廣告分發、注入腳本的流氓域，攻擊者們將其鏈接到了一個名為AllBlock拓展插件上。

根據Imperva的分析報告，其中之一是hxxps://frgtylik.com/KryhsIvSaUnQ.js,工作方式如下：

• 腳本會把當前頁面中所有的鏈接列表，包括頁面完整的URL，發送至遠程服務器中;
• 遠程服務器會返回想要重新定向到腳本的域列表;
• 當用戶點擊這些已經被更改的鏈接時，就會被劫持到其他的頁面。

具體過程如下圖所示：

簡單來說，JavaScript代碼將會被注入到瀏覽器打開的每一個新頁面中，它會識別并將Web頁面中的所有鏈接(即搜索引擎中的查詢結果)發送到遠程服務器。這時服務器會返回來一個惡意的域列表，以此替代原有合法的鏈接，這樣當用戶點擊其中一個鏈接時，就會被定向到攻擊者的惡意網站中。

Imperva安全人員繼續分析后表示，“在一個名為e.hiddenHref的變量中，惡意的JavaScript會利用服務器ratds[.]net返回的信息替換掉原有的URL。只要用戶點擊了網頁上任何修改過的鏈接，他就會被定向到另一個鏈接中。

憑借著這個欺詐性的廣告注入攻擊中，每當用戶出現注冊或購買產品等特定的行為時，攻擊者就可以從中獲取利潤。

為此，攻擊者使用了幾種技術來規避AllBlock的檢測，伴隨的還有一些增加分析工作難度的操作，例如每100ms清除一次調試控制臺，以及排除主要的搜索引擎等。

Imperva安全研究人員還發現，該攻擊行為可以和此前一個名為PBot活動聯系起來，因為他們使用了相同的域名和IP地址。

“廣告注入是一種不斷演變的威脅，幾乎可以影響到所有的網站。當一個網站被廣告注入時，網站的性能和用戶體驗會馬上下降，這意味著網站的速度會降低，用戶等待的時間也會更長。根據Baymard的研究報告，68.8%購物車會被用戶舍棄，其中有很多原因，但不可否認的是，廣告注入是其中最關鍵的原因之一。”

“此外，廣告注入還會給網站帶來其他的影響，包括用戶的信任度和忠誠度下降，網站收入也會因此下降，內容會被屏蔽，轉換率也會降低。”

值得慶幸的是，目前惡意的Ad-Blocking Chrome插件已經從WebStore和 Opera插件市場中刪除，避免更多的人因此而遭受損失。