AddScript

Операторы ПНП (потенциально нежелательных программ) и злоумышленники продолжают полагаться на семейство расширений браузера AddScript как на источник новых навязчивых приложений. Первые приложения AddScript были обнаружены исследователями кибербезопасности в 2019 году, и с тех пор семейство оставалось весьма активным. Подробности об этой конкретной группе приложений, а также об общей деятельности рекламного ПО и вредоносных расширений браузера были опубликованы экспертами по вредоносным программам.

По мнению исследователей, приложения AddScript чаще всего распространяются под видом полезных медиаинструментов. В частности, они обещают пользователям возможность загружать выбранный аудио- и видеоконтент из различных источников, таких как социальные сети. Еще одна популярная роль в приложениях AddScript — это прокси-менеджеры. Важной характеристикой этого семейства угроз является то, что его члены почти всегда способны выполнять обещанные функции, что позволяет не вызывать подозрений и гарантировать, что пользователи не удалят их. Приложения, подтвержденные как принадлежащие к этому семейству, включают Y2Mate - Video Downloader, помощник SaveFrom.net , помощник прокси friGate3 и т. д.

Однако на фоне системы расширение AddScript продолжит выполнять свои гнусные цели. Во-первых, приложение свяжется с жестко заданным URL-адресом, принадлежащим его серверу управления и контроля (C2, C&C). После установления соединения с C2 расширение AddScript извлечет поврежденный JavaScript, а затем автоматически выполнит его. Одним из возможных признаков скрытых действий, которые могут заметить пользователи, является ненормальное увеличение потребления ресурсов ЦП.

Точные функции поставляемого кода могут различаться в зависимости от конкретной схемы, которую используют операторы приложений. Например, расширение AddScript может запускать видео на вкладках, открытых в браузере пользователя, для получения прибыли на основе предполагаемых «просмотров». Другая возможность заключается в том, что навязчивое приложение выполняет схему, известную как «вставка файлов cookie» / «удаление файлов cookie». Это включает в себя развертывание партнерских файлов cookie на затронутом устройстве. После этого мошенники могут потребовать комиссию за фальсифицированные транзакции и несостоявшийся трафик.