AddScript

A PUP (potenciálisan nemkívánatos programok) operátorai és fenyegetések szereplői továbbra is az AddScript böngészőbővítmények családjára támaszkodnak új, tolakodó alkalmazások forrásaként. Az első AddScript alkalmazásokat 2019-ben azonosították a kiberbiztonsági kutatók, és azóta a család meglehetősen aktív maradt. Erről az alkalmazáscsoportról, valamint az általános reklámprogramokról és a káros böngészőbővítési tevékenységekről a rosszindulatú programok szakértői adtak ki részleteket.

A kutatók szerint az AddScript alkalmazások többnyire hasznos médiaeszközök leple alatt terjednek. Pontosabban azt ígérik a felhasználóknak, hogy letölthetik a kiválasztott audio- és videotartalmakat különböző forrásokból, például közösségi oldalakról. Egy másik népszerű szerep az AddScript alkalmazásokban a proxykezelők szerepe. Ennek a fenyegetettségi családnak fontos jellemzője, hogy tagjai szinte mindig képesek végrehajtani a megígért funkciókat, így elkerülhető a gyanú, és a felhasználók ne távolítsák el őket. A családhoz tartozó alkalmazások között szerepel az Y2Mate - Video Downloader, a SaveFrom.net helper, a friGate3 proxy helper stb.

A rendszer hátterében azonban az AddScript kiterjesztés végrehajtja aljas céljait. Először az alkalmazás felveszi a kapcsolatot a Command-and-Control (C2, C&C) szerveréhez tartozó, kemény kódolt URL-lel. A C2-vel való kapcsolat létrehozása után az AddScript-bővítmény letölti a sérült JavaScriptet, majd csendben végrehajtja. A felhasználók által észrevehető rejtett tevékenységek egyik lehetséges jele a CPU-erőforrások felhasználásának rendellenes növekedése.

A szállított kód pontos funkciói változhatnak, attól függően, hogy az alkalmazások operátorai milyen konkrét sémát futtatnak. Például az AddScript bővítmény videókat futtathat a felhasználó böngészőjében megnyitott lapokon, hogy a feltételezett „megtekintések” alapján nyereséget termeljen. Egy másik lehetőség az, hogy a tolakodó alkalmazás végrehajtsa a „süti feltöltése”/„süti eldobása” néven ismert sémát. Ez magában foglalja a társult cookie-k telepítését az érintett eszközön. Ezt követően a csalók jutalékot követelhetnek a meghamisított tranzakciókért és a meg nem történt forgalomért.