AddScript
Operatorii PUP (Programe potențial nedorite) și actorii amenințărilor continuă să se bazeze pe familia de extensii de browser AddScript ca sursă pentru noi aplicații intruzive. Primele aplicații AddScript au fost identificate de cercetătorii în domeniul securității cibernetice în 2019 și de atunci familia a rămas destul de activă. Detalii despre acest grup special de aplicații și activitățile generale de adware și extensii de browser dăunătoare au fost publicate de experții în malware.
Potrivit cercetătorilor, aplicațiile AddScript sunt în mare parte răspândite sub pretextul unor instrumente media utile. Mai precis, acestea promit utilizatorilor posibilitatea de a descărca conținutul audio și video ales din diverse surse, cum ar fi rețelele sociale. Un alt rol popular văzut în aplicațiile AddScript este cel al managerilor proxy. O caracteristică importantă a acestei familii de amenințări este că membrii săi sunt aproape întotdeauna capabili să realizeze funcționalitățile promise, ca o modalitate de a nu ridica nicio suspiciune și de a se asigura că utilizatorii nu le vor elimina. Aplicațiile confirmate ca aparținând acestei familii includ Y2Mate - Video Downloader, SaveFrom.net helper, friGate3 proxy helper etc.
Cu toate acestea, în fundalul sistemului, extensia AddScript va continua să își îndeplinească obiectivele nefaste. Mai întâi, aplicația va contacta o adresă URL codificată care aparține serverului său de comandă și control (C2, C&C). După stabilirea unei conexiuni la C2, extensia AddScript va prelua un JavaScript corupt și apoi îl va executa în tăcere. Un posibil semn al activităților ascunse pe care utilizatorii le-ar putea observa este o creștere anormală a consumului de resurse CPU.
Funcțiile exacte ale codului livrat pot varia, în funcție de schema specifică pe care o rulează operatorii aplicațiilor. De exemplu, extensia AddScript poate rula videoclipuri în filele deschise în browserul utilizatorului pentru a genera profituri pe baza presupuselor „vizionări”. O altă posibilitate este ca aplicația intruzivă să efectueze o schemă cunoscută sub numele de „cookie stuffing”/“cookie dropping”. Aceasta implică implementarea cookie-urilor afiliate pe dispozitivul afectat. Ulterior, escrocii pot pretinde comisioane pentru tranzacțiile și traficul falsificat care nu au avut loc.
