AddScript

اپراتورهای PUP (برنامه های بالقوه ناخواسته) و عوامل تهدید همچنان به خانواده افزونه های مرورگر AddScript به عنوان منبعی برای برنامه های مزاحم جدید متکی هستند. اولین برنامه های AddScript توسط محققان امنیت سایبری در سال 2019 شناسایی شد و از آن زمان این خانواده کاملاً فعال باقی مانده است. جزئیات مربوط به این گروه خاص از برنامه‌ها و تبلیغات عمومی و فعالیت‌های مضر افزونه مرورگر توسط کارشناسان بدافزار منتشر شد.

به گفته محققان، برنامه های کاربردی AddScript بیشتر تحت پوشش ابزارهای رسانه ای مفید پخش می شوند. به طور خاص، آنها به کاربران قول می دهند که بتوانند محتوای صوتی و تصویری انتخابی را از منابع مختلف مانند شبکه های اجتماعی دانلود کنند. یکی دیگر از نقش های پرطرفدار که در برنامه های AddScript دیده می شود، نقش مدیران پروکسی است. یکی از ویژگی های مهم این خانواده تهدید این است که اعضای آن تقریباً همیشه قادر به انجام عملکردهای وعده داده شده هستند، به عنوان راهی برای ایجاد هیچ شبهه ای و اطمینان از عدم حذف آنها توسط کاربران. برنامه هایی که تایید شده متعلق به این خانواده هستند عبارتند از Y2Mate - Video Downloader، SaveFrom.net helper، friGate3 proxy helper و غیره.

با این حال، در پس‌زمینه سیستم، افزونه AddScript برای انجام اهداف پلید خود اقدام می‌کند. ابتدا، برنامه با یک URL کدگذاری شده متعلق به سرور Command-and-Control (C2, C&C) تماس می گیرد. پس از برقراری ارتباط با C2، افزونه AddScript یک جاوا اسکریپت خراب را واکشی می کند و سپس آن را بی صدا اجرا می کند. یکی از نشانه‌های احتمالی فعالیت‌های پنهانی که کاربران ممکن است متوجه آن شوند، افزایش غیرعادی در مصرف منابع CPU است.

عملکردهای دقیق کد ارائه شده بر اساس طرح خاصی که اپراتورهای برنامه اجرا می کنند، می تواند متفاوت باشد. به عنوان مثال، برنامه افزودنی AddScript ممکن است ویدیوها را در برگه‌های باز شده در مرورگر کاربر اجرا کند تا براساس "نمایش"های فرضی، سود ایجاد کند. امکان دیگر این است که برنامه نفوذی طرحی را انجام دهد که به عنوان 'پر کردن کوکی'/'ریزش کوکی' شناخته می شود. این شامل استقرار کوکی های وابسته در دستگاه آسیب دیده است. پس از آن، کلاهبرداران می توانند برای تراکنش های جعلی و ترافیکی که اتفاق نیفتاده است، کمیسیون دریافت کنند.