AddScript

До Mezo през Potentially Unwanted Programs, Adware, Browser Hijackersг

Превод на:

Операторите на PUP (потенциално нежелани програми) и участниците в заплахи продължават да разчитат на семейството разширения на браузъра AddScript като източник за нови натрапчиви приложения. Първите приложения на AddScript бяха идентифицирани от изследователи по киберсигурност през 2019 г. и оттогава семейството остава доста активно. Подробности за тази конкретна група приложения и общия рекламен софтуер и вредните дейности за разширения на браузъра бяха публикувани от експерти по зловреден софтуер.

Според изследователите приложенията AddScript се разпространяват най-вече под прикритието на полезни медийни инструменти. По-конкретно, те обещават на потребителите възможността да изтеглят избрано аудио и видео съдържание от различни източници, като например социални мрежи. Друга популярна роля, наблюдавана в приложенията на AddScript, е тази на прокси мениджърите. Важна характеристика на това семейство заплахи е, че членовете му почти винаги са в състояние да изпълнят обещаните функции, като начин да не се повдигат подозрения и да се гарантира, че потребителите няма да ги премахнат. Приложенията, за които е потвърдено, че принадлежат към това семейство, включват Y2Mate - Video Downloader, SaveFrom.net помощник, friGate3 прокси помощник и др.

Въпреки това, във фонов режим на системата, разширението AddScript ще продължи да изпълнява престъпните си цели. Първо, приложението ще се свърже с твърдо кодиран URL адрес, принадлежащ на неговия сървър за командване и управление (C2, C&C). След установяване на връзка към C2, разширението AddScript ще извлече повреден JavaScript и след това ще го изпълни тихо. Един възможен признак за скритите дейности, които потребителите могат да забележат, е необичайно увеличаване на консумацията на ресурси на процесора.

Точните функции на доставения код могат да варират в зависимост от конкретната схема, която изпълняват операторите на приложенията. Например, разширението AddScript може да стартира видеоклипове в разделите, отворени в браузъра на потребителя, за да генерира печалби въз основа на предполагаемите „гледания“. Друга възможност е натрапчивото приложение да изпълни схема, известна като „пълнене на бисквитки“/„изпускане на бисквитки“. Това включва разполагане на партньорски бисквитки на засегнатото устройство. След това измамниците могат да искат комисионни за фалшифицирани транзакции и трафик, които не са се случили.