AddScript
PUP-operaattorit ja uhkatekijät luottavat edelleen AddScript-selainlaajennusten perheeseen uusien tunkeilevien sovellusten lähteenä. Ensimmäiset AddScript-sovellukset tunnistivat kyberturvallisuustutkijat vuonna 2019, ja siitä lähtien perhe on pysynyt melko aktiivisena. Haittaohjelmaasiantuntijat julkaisivat tietoja tästä sovellusryhmästä sekä yleisistä mainosohjelmista ja haitallisista selainlaajennuksista.
Tutkijoiden mukaan AddScript-sovellukset leviävät enimmäkseen hyödyllisten mediatyökalujen varjolla. Tarkemmin sanottuna ne lupaavat käyttäjille mahdollisuuden ladata valittua ääni- ja videosisältöä eri lähteistä, kuten sosiaalisista verkoista. Toinen suosittu AddScript-sovelluksissa nähty rooli on välityspalvelimen hallinta. Tämän uhkaperheen tärkeä ominaisuus on, että sen jäsenet pystyvät lähes aina toteuttamaan luvatut toiminnot, jotta ei herätetä epäilyksiä ja jotta käyttäjät eivät poista niitä. Sovelluksia, joiden on vahvistettu kuuluvan tähän perheeseen, ovat Y2Mate - Video Downloader, SaveFrom.net- apuohjelma, friGate3-välityspalvelinapuohjelma jne.
Järjestelmän taustalla AddScript-laajennus kuitenkin jatkaa täyttämään pahat tavoitteensa. Ensin sovellus ottaa yhteyttä sen Command-and-Control (C2, C&C) palvelimeen kuuluvaan kovakoodatuun URL-osoitteeseen. Kun yhteys C2:een on muodostettu, AddScript-laajennus hakee vioittuneen JavaScriptin ja suorittaa sen sitten äänettömästi. Yksi mahdollinen merkki salaisista toimista, jonka käyttäjät saattavat havaita, on suorittimen resurssien epänormaali lisääntyminen.
Toimitetun koodin tarkat toiminnot voivat vaihdella sovellusten operaattorien käyttämän erityisjärjestelmän mukaan. Esimerkiksi AddScript-laajennus voi näyttää videoita käyttäjän selaimessa avatuilla välilehdillä tuottaakseen voittoa oletettujen "näyttökertojen" perusteella. Toinen mahdollisuus on, että tunkeileva sovellus suorittaa järjestelmän, joka tunnetaan nimellä "cookie filling" / "cookie dropping". Se sisältää kumppanievästeiden asentamisen kyseiselle laitteelle. Jälkeenpäin huijarit voivat vaatia palkkioita väärennetyistä tapahtumista ja liikenteestä, jota ei ole tapahtunut.
