AddScript

PUP (Potansiyel Olarak İstenmeyen Programlar) operatörleri ve tehdit aktörleri, yeni müdahaleci uygulamalar için bir kaynak olarak AddScript tarayıcı uzantıları ailesine güvenmeye devam ediyor. İlk AddScript uygulamaları 2019'da siber güvenlik araştırmacıları tarafından belirlendi ve o zamandan beri aile oldukça aktif kaldı. Bu özel uygulama grubu ve genel reklam yazılımı ve zararlı tarayıcı uzantısı etkinlikleriyle ilgili ayrıntılar, kötü amaçlı yazılım uzmanları tarafından yayınlandı.

Araştırmacılara göre, AddScript uygulamaları çoğunlukla yararlı medya araçları kisvesi altında yayılıyor. Daha spesifik olarak, kullanıcılara sosyal ağlar gibi çeşitli kaynaklardan seçilen ses ve video içeriğini indirme olanağı vaat ediyorlar. AddScript uygulamalarında görülen bir diğer popüler rol, proxy yöneticilerinin rolüdür. Bu tehdit ailesinin önemli bir özelliği, şüphe uyandırmamak ve kullanıcıların bunları kaldırmayacağından emin olmak için üyelerinin neredeyse her zaman vaat edilen işlevleri yerine getirme yeteneğine sahip olmasıdır. Bu aileye ait olduğu onaylanan uygulamalar arasında Y2Mate - Video Downloader, SaveFrom.net helper, friGate3 proxy helper vb. bulunur.

Ancak, sistemin arka planında, AddScript uzantısı hain hedeflerini gerçekleştirmeye devam edecektir. İlk olarak uygulama, Komuta ve Kontrol (C2, C&C) sunucusuna ait sabit kodlanmış bir URL ile bağlantı kuracaktır. C2 ile bağlantı kurduktan sonra, AddScript uzantısı bozuk bir JavaScript getirecek ve ardından sessizce çalıştıracaktır. Kullanıcıların fark edebileceği gizli etkinliklerin olası bir işareti, CPU kaynaklarının tüketimindeki anormal artıştır.

Teslim edilen kodun tam işlevleri, uygulama operatörlerinin çalıştırdığı belirli şemaya bağlı olarak değişebilir. Örneğin, AddScript uzantısı, varsayılan 'görüntülemelere' dayalı olarak kar elde etmek için kullanıcının tarayıcısında açılan sekmelerde videolar çalıştırabilir. Başka bir olasılık, müdahaleci uygulamanın 'çerez doldurma'/'çerez bırakma' olarak bilinen bir şema gerçekleştirmesidir. Etkilenen cihaza bağlı kuruluş çerezlerinin dağıtılmasını içerir. Daha sonra dolandırıcılar, sahte işlemler ve gerçekleşmeyen trafik için komisyon talep edebilir.