AddScript
Оператори PUP (потенційно небажаних програм) і зловмисники продовжують покладатися на сімейство розширень браузера AddScript як на джерело нових нав’язливих програм. Перші програми AddScript були ідентифіковані дослідниками кібербезпеки в 2019 році, і з тих пір сімейство залишається досить активним. Експерти зловмисного програмного забезпечення оприлюднили деталі про цю конкретну групу програм, а також про загальне рекламне програмне забезпечення та шкідливі розширення браузера.
За словами дослідників, програми AddScript здебільшого поширюються під виглядом корисних медіа-інструментів. Зокрема, вони обіцяють користувачам можливість завантажувати вибраний аудіо- та відеоконтент із різних джерел, наприклад із соціальних мереж. Ще одна популярна роль у додатках AddScript – це роль менеджерів проксі. Важливою характеристикою цього сімейства загроз є те, що його члени майже завжди здатні виконувати обіцяні функції, щоб не викликати жодних підозр і гарантувати, що користувачі не видалять їх. Програми, які підтверджено належать до цієї родини, включають Y2Mate - Video Downloader, SaveFrom.net helper, friGate3 proxy helper тощо.
Однак у фоновому режимі системи розширення AddScript продовжить виконувати свої мерзенні цілі. По-перше, програма зв’яжеться з жорстко закодованою URL-адресою, що належить її серверу командування та керування (C2, C&C). Після встановлення з’єднання з C2 розширення AddScript отримає пошкоджений JavaScript, а потім виконає його мовчки. Однією з можливих ознак прихованої діяльності, яку можуть помітити користувачі, є ненормальне збільшення споживання ресурсів ЦП.
Точні функції наданого коду можуть відрізнятися залежно від конкретної схеми, яку запускають оператори програм. Наприклад, розширення AddScript може запускати відео на вкладках, відкритих у браузері користувача, щоб отримати прибуток на основі передбачуваних «переглядів». Інша можливість полягає в тому, що нав’язлива програма виконує схему, відому як «наповнення файлами cookie»/«скидання файлів cookie». Це передбачає розгортання афілійованих файлів cookie на ураженому пристрої. Після цього шахраї можуть вимагати комісію за фальсифіковані транзакції та трафік, який не відбувся.
