AddScript

Operaterji PUP (potencialno neželeni programi) in akterji groženj se še naprej zanašajo na družino razširitev brskalnika AddScript kot vir za nove vsiljive aplikacije. Prve aplikacije AddScript so raziskovalci kibernetske varnosti identificirali leta 2019 in od takrat je družina ostala precej aktivna. Podrobnosti o tej posebni skupini aplikacij ter splošni oglaševalski programski opremi in škodljivih dejavnostih razširitev brskalnika so objavili strokovnjaki za zlonamerno programsko opremo.

Po mnenju raziskovalcev se aplikacije AddScript večinoma širijo pod krinko uporabnih medijskih orodij. Natančneje, uporabnikom obljubljajo možnost prenosa izbranih avdio in video vsebin iz različnih virov, kot so družbena omrežja. Druga priljubljena vloga, ki jo opazimo v aplikacijah AddScript, je vloga proxy managerjev. Pomembna značilnost te družine groženj je, da so njeni člani skoraj vedno sposobni izvajati obljubljene funkcije, da ne bi vzbudili nobenega suma in zagotovili, da jih uporabniki ne bodo odstranili. Aplikacije, za katere je potrjeno, da pripadajo tej družini, vključujejo Y2Mate - Video Downloader, SaveFrom.net pomočnik, friGate3 proxy pomočnik itd.

Vendar pa bo v ozadju sistema razširitev AddScript nadaljevala z izvajanjem svojih zlobnih ciljev. Najprej bo aplikacija vzpostavila stik s trdo kodiranim URL-jem, ki pripada njenemu strežniku za ukazovanje in nadzor (C2, C&C). Po vzpostavitvi povezave s C2 bo razširitev AddScript pridobila poškodovan JavaScript in ga nato tiho izvedla. Eden od možnih znakov prikritih dejavnosti, ki bi jih lahko opazili uporabniki, je nenormalno povečanje porabe virov procesorja.

Natančne funkcije dostavljene kode se lahko razlikujejo glede na specifično shemo, ki jo izvajajo operaterji aplikacij. Na primer, razširitev AddScript lahko predvaja videoposnetke na zavihkih, odprtih v uporabnikovem brskalniku, da ustvari dobiček na podlagi domnevnih 'ogledov'. Druga možnost je, da vsiljiva aplikacija izvede shemo, znano kot "polnjenje piškotkov"/"spuščanje piškotkov". Vključuje namestitev pridruženih piškotkov na prizadeti napravi. Nato lahko goljufi zahtevajo provizije za ponarejene transakcije in promet, ki se ni zgodil.