Noi tutti durante la nostra routine in internet abbiamo usato o stiamo usando un ad blocker, i software che si mostrano come estensioni di Google Chrome, Firefox e Internet Explorer sono molto utili dal momento che consentono di non visualizzare i fiumi di pubblicità presenti nella maggioranza dei siti, a meno che questi ultimi non blocchino l’accesso altrimenti.

A quanto pare però anche in questo mondo c’è stato chi ha pensato bene di speculare anche su questo campo dell’informatica, i ricercatori di Imperva hanno infatti rilevato un ad blocker chiamato AllBlock che invece di rimuovere le pubblicità ne visualizzava di più, un atteggiamento ovviamente poco consono al tipo di programma preso in esame.

 

Meccanismo complesso e avanzato

La tecnica sfruttata da questo malware si chiama ad injection, essa sostanzialmente consiste in un re-indirizzamento dei link normali a cui un utente accede verso dei domini controllati dagli sviluppatori e che portano loro guadagno.

Come se non bastasse, i ricercatori hanno notato come questo software avesse nel proprio codice delle features che ne rendevano difficile sia il riconoscimento che la rimozione, escludeva buona parte dei motori di ricerca russi, cancellava la console di debug ogni 100ms ed era in grado di scovare attivamente variabili Firebug inizializzate.

Gli sviluppatori hanno scoperto che AllBlock, connettendosi al dominio AllBlock.net, riceveva da quest’ultimo uno script in base64 che a sua volta veniva decodificato e iniettato nella pagina web visitata insieme ad altri script innocui, in modo da renderne più difficile l’individuazione, tutto ciò per ogni singola scheda aperta nel browser.