AddScript

PUP-operators (potentieel ongewenste programma's) en bedreigingsactoren blijven vertrouwen op de AddScript-browserextensies als bron voor nieuwe intrusieve toepassingen. De eerste AddScript-applicaties werden in 2019 geïdentificeerd door cybersecurity-onderzoekers en sindsdien is de familie behoorlijk actief gebleven. Details over deze specifieke groep applicaties en de algemene activiteiten op het gebied van adware en schadelijke browserextensies zijn vrijgegeven door malware-experts.

Volgens de onderzoekers worden de AddScript-applicaties vooral verspreid onder het mom van handige mediatools. Meer specifiek beloven ze gebruikers de mogelijkheid om gekozen audio- en video-inhoud te downloaden van verschillende bronnen, zoals sociale netwerken. Een andere populaire rol die in AddScript-toepassingen wordt gezien, is die van proxymanagers. Een belangrijk kenmerk van deze dreigingsfamilie is dat haar leden vrijwel altijd in staat zijn om de beloofde functionaliteiten uit te voeren, om zo geen argwaan te wekken en ervoor te zorgen dat gebruikers ze niet verwijderen. Toepassingen waarvan is bevestigd dat ze tot deze familie behoren, zijn de Y2Mate - Video Downloader, SaveFrom.net- helper, friGate3-proxy-helper, enz.

Op de achtergrond van het systeem zal de AddScript-extensie echter doorgaan met het uitvoeren van zijn snode doelen. Eerst zal de toepassing contact opnemen met een hardcoded URL die behoort tot de Command-and-Control (C2, C&C)-server. Nadat een verbinding met de C2 tot stand is gebracht, haalt de AddScript-extensie een beschadigd JavaScript op en voert het vervolgens stil uit. Een mogelijk teken van de geheime activiteiten die gebruikers zouden kunnen opmerken, is een abnormale toename van het verbruik van CPU-bronnen.

De exacte functies van de geleverde code kunnen variëren, afhankelijk van het specifieke schema dat de operators van de applicaties gebruiken. De AddScript-extensie kan bijvoorbeeld video's weergeven op de tabbladen die zijn geopend in de browser van de gebruiker om winst te genereren op basis van de veronderstelde 'weergaven'. Een andere mogelijkheid is dat de opdringerige applicatie een schema uitvoert dat bekend staat als 'cookie stuffing'/'cookie dropping'. Het gaat om het plaatsen van gelieerde cookies op het getroffen apparaat. Daarna kunnen de fraudeurs commissies claimen voor vervalste transacties en verkeer dat niet heeft plaatsgevonden.