Rimosso ad blocker che non faceva il suo lavoro

Non tutti i siti danno solo le informazioni che servono e i servizi più graditi. Ma non tutti i programmi sono capaci di fare il loro lavoro una volta installati. Parliamo dei cosiddetti “ad blocker”, che teoricamente dovrebbero tenere nascosti i fastidiosi pop-up pubblicitari che invadono le pagine internet.

E’ il caso di AllBlock, un software nato come estensione di Google Chrome, che avrebbe dovuto aiutare i navigatori a essere importunati il meno possibile dagli avvisi pubblicitari che gli algoritmi fanno comparire sulle pagine di navigazione.

Avrebbe dovuto aiutare infatti a non vedere quelle fastidiose pubblicità presenti su Facebook e YouTube, mentre in realtà invece di lavorare come “ad blocker”, faceva una cosa che si chiama “ad injection”, ossia fa sì che degli URL legittimi reindirizzino a dei link affiliati, controllati e gestiti dagli sviluppatori dell’estensione.

AllBlock, non bloccava proprio nulla

La scoperta è stata fatta da una società di ricerca che si chiama Imperva, che lo scorso agosto ha scovato un gruppo di domini ad oggi ancora sconosciuti che che distribuivano uno script di ad injection. Quando un utente cliccava su uno dei link modificati, veniva reindirizzato a una pagina diversa, spesso un link affiliato da cui i malintenzionati traevano profitto.

LEGGI ANCHE >>> Canone Rai anche per smartphone e tablet? Pessima notizia per i cittadini italiani

Lo script, rivela Imperva, integrava anche alcuni meccanismi che ne impedivano la scoperta: escludeva i motori di ricerca russi, ed era in grado di scovare attivamente variabili Firebug inizializzate. Lo script è stato scovato dentro a “bg.js”, che inietta del codice ogni volta che una nuova scheda viene aperta nel browser.

LEGGI ANCHE >>> WhatsApp punta tutto sulla sicurezza e rilascia un nuovo utile accorgimento

Per fare tutto questo AllBlock si connetteva su allblock.net, che restituiva uno script codificato in base64, che a sua volta veniva iniettato nella pagina web che l’utente stava visitando. Gli sviluppatori dell’estensione hanno perfino inserito variabili non malevole nel codice, sperando di rendere più difficile l’identificazione del codice JavaScript malevolo.

Secondo Imperva, gli sviluppatori di AllBlock potrebbero usare anche altre estensioni per portare avanti il loro ad injection. Alcuni degli IP e dei domini scovati fanno riferimento alla campagna Pbot, attiva almeno dal 2018. “Per come venia iniettato lo script, non crediamo di aver trovato l’origine dell’attacco che ci ha condotto a questa scoperta. Il primo script che abbiamo scovato veniva iniettato tramite uno script tag che puntava a un server remoto, dove l’estensione AllBlock iniettava il codice malevolo direttamente nella scheda del browser attiva” ha spiegato Imperva nel report. “Questo ci porta a credere che c’è una campagna più grande in atto, che probabilmente usa diversi metodi di iniezione dello script e diverse estensioni”.