AddScript
يستمر المشغلون والجهات الفاعلة في التهديد PUP (البرامج غير المرغوب فيها) في الاعتماد على عائلة ملحقات متصفح AddScript كمصدر للتطبيقات المتطفلة الجديدة. حدد باحثو الأمن السيبراني تطبيقات AddScript الأولى في عام 2019 ومنذ ذلك الحين ظلت العائلة نشطة تمامًا. تم إصدار تفاصيل حول هذه المجموعة المعينة من التطبيقات والبرامج الإعلانية العامة وأنشطة امتداد المتصفح الضارة بواسطة خبراء البرامج الضارة.
وفقًا للباحثين ، تنتشر تطبيقات AddScript في الغالب تحت ستار أدوات الوسائط المفيدة. وبشكل أكثر تحديدًا ، يعدون المستخدمين بالقدرة على تنزيل محتوى الصوت والفيديو المختار من مصادر مختلفة ، مثل الشبكات الاجتماعية. دور آخر شائع في تطبيقات AddScript هو دور مديري البروكسي. من السمات المهمة لعائلة التهديد هذه أن أفرادها قادرون دائمًا تقريبًا على تنفيذ الوظائف الموعودة ، كطريقة لعدم إثارة أي شك ولضمان عدم قيام المستخدمين بإزالتها. تشمل التطبيقات التي تم التأكد من انتمائها إلى هذه العائلة Y2Mate - Video Downloader ، مساعد SaveFrom.net ، مساعد وكيل FriGate3 ، إلخ.
ومع ذلك ، في خلفية النظام ، سيستمر امتداد AddScript في تنفيذ أهدافه الشائنة. أولاً ، سيتصل التطبيق بعنوان URL مشفر ينتمي إلى خادم الأوامر والتحكم (C2 ، C&C) الخاص به. بعد إنشاء اتصال بـ C2 ، سيقوم ملحق AddScript بجلب JavaScript تالف ومن ثم تنفيذه بصمت. إحدى العلامات المحتملة للأنشطة السرية التي قد يلاحظها المستخدمون هي الزيادة غير الطبيعية في استهلاك موارد وحدة المعالجة المركزية.
يمكن أن تختلف الوظائف الدقيقة للشفرة التي تم تسليمها ، بناءً على المخطط المحدد الذي يعمل عليه مشغلو التطبيقات. على سبيل المثال ، قد يقوم امتداد AddScript بتشغيل مقاطع الفيديو في علامات التبويب المفتوحة في متصفح المستخدم لتحقيق أرباح بناءً على "المشاهدات" المفترضة. الاحتمال الآخر هو أن يقوم التطبيق المتطفّل بتنفيذ مخطط يُعرف باسم "حشو ملفات تعريف الارتباط" / "إسقاط ملفات تعريف الارتباط". يتضمن نشر ملفات تعريف الارتباط التابعة على الجهاز المتأثر. بعد ذلك ، يمكن للمحتالين المطالبة بعمولات على المعاملات المزورة وحركة المرور التي لم تحدث.
