AddScript
PUP(潜在有害程序)操作员和威胁参与者继续依赖 AddScript 浏览器扩展系列作为新侵入性应用程序的来源。网络安全研究人员于 2019 年发现了首批 AddScript 应用程序,此后该系列一直非常活跃。恶意软件专家发布了有关这组特定应用程序以及一般广告软件和有害浏览器扩展活动的详细信息。
据研究人员称,AddScript 应用程序大多以有用的媒体工具为幌子传播。更具体地说,它们承诺用户能够从各种来源(例如社交网络)下载选定的音频和视频内容。 AddScript 应用程序中的另一个流行角色是代理管理器。这个威胁家族的一个重要特征是它的成员几乎总是能够执行承诺的功能,作为一种不引起任何怀疑并确保用户不会删除它们的方式。确认属于该系列的应用程序包括 Y2Mate - 视频下载器、 SaveFrom.net助手、friGate3 代理助手等。
但是,在系统后台,AddScript 扩展将继续执行其邪恶的目标。首先,应用程序将联系一个属于其命令和控制(C2、C&C)服务器的硬编码 URL。与 C2 建立连接后,AddScript 扩展将获取损坏的 JavaScript,然后静默执行。用户可能注意到的隐蔽活动的一个可能迹象是 CPU 资源消耗的异常增加。
交付代码的确切功能可能会有所不同,具体取决于应用程序操作员正在运行的特定方案。例如,AddScript 扩展程序可以在用户浏览器中打开的选项卡中运行视频,以根据假定的“观看次数”产生利润。另一种可能性是侵入式应用程序执行称为“cookie 填充”/“cookie 丢弃”的方案。它涉及在受影响的设备上部署附属 cookie。之后,欺诈者可以为虚假交易和未发生的流量索取佣金。
