AddScript
PUP(潛在有害程序)操作員和威脅參與者繼續依賴 AddScript 瀏覽器擴展系列作為新侵入性應用程序的來源。網絡安全研究人員於 2019 年發現了第一批 AddScript 應用程序,此後該系列一直非常活躍。惡意軟件專家發布了有關這組特定應用程序以及一般廣告軟件和有害瀏覽器擴展活動的詳細信息。
據研究人員稱,AddScript 應用程序大多以有用的媒體工具為幌子傳播。更具體地說,它們承諾用戶能夠從各種來源(例如社交網絡)下載選定的音頻和視頻內容。 AddScript 應用程序中的另一個流行角色是代理管理器。這個威脅家族的一個重要特徵是它的成員幾乎總是能夠執行承諾的功能,作為一種不引起任何懷疑並確保用戶不會刪除它們的方式。確認屬於該系列的應用程序包括 Y2Mate - Video Downloader、 SaveFrom.net helper、friGate3 proxy helper 等。
但是,在系統的後台,AddScript 擴展將繼續執行其邪惡的目標。首先,應用程序將聯繫一個屬於其命令和控制(C2、C&C)服務器的硬編碼 URL。與 C2 建立連接後,AddScript 擴展將獲取損壞的 JavaScript,然後靜默執行。用戶可能注意到的隱蔽活動的一個可能跡像是 CPU 資源消耗的異常增加。
交付代碼的確切功能可能會有所不同,具體取決於應用程序操作員正在運行的特定方案。例如,AddScript 擴展程序可能會在用戶瀏覽器中打開的選項卡中運行視頻,以根據假定的“觀看次數”產生利潤。另一種可能性是侵入式應用程序執行稱為“cookie 填充”/“cookie 丟棄”的方案。它涉及在受影響的設備上部署附屬 cookie。之後,欺詐者可以為虛假交易和未發生的流量索取佣金。
