AddScript
PUP-operatører (Potentially Unwanted Programs) og trusselaktører fortsetter å stole på AddScript-nettleserutvidelsesfamilien som en kilde for nye påtrengende applikasjoner. De første AddScript-applikasjonene ble identifisert av cybersikkerhetsforskere i 2019, og siden den gang har familien vært ganske aktiv. Detaljer om denne spesielle gruppen av applikasjoner og den generelle adware- og skadelige nettleserutvidelsesaktivitetene ble utgitt av skadevareeksperter.
Ifølge forskerne spres AddScript-applikasjonene stort sett under dekke av nyttige medieverktøy. Mer spesifikt lover de brukerne muligheten til å laste ned valgt lyd- og videoinnhold fra ulike kilder, for eksempel sosiale nettverk. En annen populær rolle sett i AddScript-applikasjoner er proxy-administratorer. Et viktig kjennetegn ved denne trusselfamilien er at medlemmene nesten alltid er i stand til å utføre de lovede funksjonene, som en måte å ikke vekke mistanke og for å sikre at brukerne ikke fjerner dem. Applikasjoner som er bekreftet å tilhøre denne familien inkluderer Y2Mate - Video Downloader, SaveFrom.net -hjelper, friGate3 proxy-hjelper, etc.
Men i bakgrunnen av systemet vil AddScript-utvidelsen fortsette for å utføre sine uhyggelige mål. Først vil applikasjonen kontakte en hardkodet URL som tilhører dens Command-and-Control-server (C2, C&C). Etter å ha opprettet en tilkobling til C2, vil AddScript-utvidelsen hente et ødelagt JavaScript og deretter kjøre det stille. Et mulig tegn på de skjulte aktivitetene som brukere kan legge merke til, er en unormal økning i forbruket av CPU-ressurser.
De nøyaktige funksjonene til den leverte koden kan variere, basert på den spesifikke ordningen som applikasjonens operatører kjører. For eksempel kan AddScript-utvidelsen kjøre videoer i fanene som åpnes i brukerens nettleser for å generere fortjeneste basert på de antatte "visningene". En annen mulighet er at den påtrengende applikasjonen utfører et opplegg kjent som 'cookie stuffing'/'cookie droping.' Det innebærer å distribuere tilknyttede informasjonskapsler på den berørte enheten. Etterpå kan svindlerne kreve provisjon for forfalskede transaksjoner og trafikk som ikke har skjedd.
