AddScript
Betreiber von PUPs (Potentially Unwanted Programs) und Bedrohungsakteure verlassen sich weiterhin auf die Familie der AddScript-Browsererweiterungen als Quelle für neue aufdringliche Anwendungen. Die ersten AddScript-Anwendungen wurden 2019 von Cybersicherheitsforschern identifiziert, und seitdem ist die Familie ziemlich aktiv geblieben. Details zu dieser speziellen Gruppe von Anwendungen und den allgemeinen Aktivitäten von Adware und schädlichen Browsererweiterungen wurden von Malware-Experten veröffentlicht.
Die AddScript-Anwendungen werden den Forschern zufolge meist unter dem Deckmantel nützlicher Medientools verbreitet. Genauer gesagt versprechen sie Benutzern die Möglichkeit, ausgewählte Audio- und Videoinhalte aus verschiedenen Quellen, wie z. B. sozialen Netzwerken, herunterzuladen. Eine weitere beliebte Rolle in AddScript-Anwendungen ist die von Proxy-Managern. Ein wichtiges Merkmal dieser Bedrohungsfamilie ist, dass ihre Mitglieder fast immer in der Lage sind, die versprochenen Funktionen auszuführen, um keinen Verdacht zu erregen und sicherzustellen, dass Benutzer sie nicht entfernen. Anwendungen, die als zu dieser Familie gehörend bestätigt wurden, umfassen den Y2Mate - Video Downloader, den SaveFrom.net- Helfer, den friGate3-Proxy-Helfer usw.
Im Hintergrund des Systems wird die AddScript-Erweiterung jedoch fortfahren, ihre schändlichen Ziele zu erreichen. Zunächst kontaktiert die Anwendung eine hartcodierte URL, die zu ihrem Command-and-Control-Server (C2, C&C) gehört. Nach dem Herstellen einer Verbindung zum C2 ruft die AddScript-Erweiterung ein beschädigtes JavaScript ab und führt es dann im Hintergrund aus. Ein mögliches Anzeichen für die verdeckten Aktivitäten, die Benutzer möglicherweise bemerken, ist ein abnormaler Anstieg des Verbrauchs von CPU-Ressourcen.
Die genauen Funktionen des gelieferten Codes können je nach spezifischem Schema, das die Betreiber der Anwendungen ausführen, variieren. Beispielsweise kann die AddScript-Erweiterung Videos in den im Browser des Benutzers geöffneten Registerkarten ausführen, um basierend auf den vermeintlichen „Ansichten“ Gewinne zu erzielen. Eine andere Möglichkeit besteht darin, dass die aufdringliche Anwendung ein Schema ausführt, das als „Cookie Stuffing“/„Cookie Dropping“ bekannt ist. Dabei werden Affiliate-Cookies auf dem betroffenen Gerät eingesetzt. Anschließend können die Betrüger Provisionen für gefälschte Transaktionen und nicht stattgefundenen Verkehr einfordern.
