AddScript

Operatorzy PUP (potencjalnie niechcianych programów) i cyberprzestępcy nadal polegają na rodzinie rozszerzeń przeglądarki AddScript jako źródle dla nowych natrętnych aplikacji. Pierwsze aplikacje AddScript zostały zidentyfikowane przez badaczy cyberbezpieczeństwa w 2019 roku i od tego czasu rodzina pozostaje dość aktywna. Szczegóły dotyczące tej konkretnej grupy aplikacji oraz ogólnych działań adware i szkodliwych rozszerzeń przeglądarki zostały opublikowane przez ekspertów od złośliwego oprogramowania.

Według naukowców aplikacje AddScript są w większości rozpowszechniane pod przykrywką użytecznych narzędzi multimedialnych. Dokładniej, obiecują użytkownikom możliwość pobierania wybranych treści audio i wideo z różnych źródeł, takich jak sieci społecznościowe. Inną popularną rolą obserwowaną w aplikacjach AddScript jest rola menedżerów proxy. Ważną cechą tej rodziny zagrożeń jest to, że jej członkowie prawie zawsze są w stanie wykonać obiecane funkcje, aby nie wzbudzać podejrzeń i mieć pewność, że użytkownicy ich nie usuną. Potwierdzono, że aplikacje należące do tej rodziny obejmują Y2Mate - Video Downloader, pomocnik SaveFrom.net , pomocnik proxy friGate3 itp.

Jednak w tle systemu rozszerzenie AddScript przystąpi do realizacji swoich nikczemnych celów. Najpierw aplikacja skontaktuje się z zakodowanym na stałe adresem URL należącym do jej serwera Command-and-Control (C2, C&C). Po nawiązaniu połączenia z C2 rozszerzenie AddScript pobierze uszkodzony JavaScript, a następnie wykona go po cichu. Jedną z możliwych oznak tajnych działań, które mogą zauważyć użytkownicy, jest nienormalny wzrost zużycia zasobów procesora.

Dokładne funkcje dostarczonego kodu mogą się różnić w zależności od konkretnego schematu, na którym działają operatorzy aplikacji. Na przykład rozszerzenie AddScript może uruchamiać filmy w zakładkach otwartych w przeglądarce użytkownika, aby generować zyski na podstawie rzekomych „wyświetleń”. Inną możliwością jest wykonanie przez natrętną aplikację schematu znanego jako „wypełnianie plików cookie”/„upuszczanie plików cookie”. Polega ona na wdrożeniu plików cookie podmiotów stowarzyszonych na urządzeniu, którego dotyczy problem. Następnie oszuści mogą żądać prowizji za sfałszowane transakcje i ruch, który nie wystąpił.