AddScript
Les opérateurs PUP (programmes potentiellement indésirables) et les auteurs de menaces continuent de s'appuyer sur la famille d'extensions de navigateur AddScript comme source de nouvelles applications intrusives. Les premières applications AddScript ont été identifiées par des chercheurs en cybersécurité en 2019 et depuis lors, la famille est restée assez active. Des détails sur ce groupe particulier d'applications et les activités générales de logiciels publicitaires et d'extensions de navigateur nuisibles ont été publiés par des experts en logiciels malveillants.
Selon les chercheurs, les applications AddScript sont principalement diffusées sous le couvert d'outils multimédias utiles. Plus précisément, ils promettent aux utilisateurs la possibilité de télécharger le contenu audio et vidéo choisi à partir de diverses sources, telles que les réseaux sociaux. Un autre rôle populaire vu dans les applications AddScript est celui des gestionnaires de proxy. Une caractéristique importante de cette famille de menaces est que ses membres sont presque toujours capables d'exécuter les fonctionnalités promises, afin de ne pas éveiller les soupçons et de s'assurer que les utilisateurs ne les supprimeront pas. Les applications confirmées comme appartenant à cette famille incluent Y2Mate - Video Downloader, SaveFrom.net helper, friGate3 proxy helper, etc.
Cependant, en arrière-plan du système, l'extension AddScript poursuivra ses objectifs néfastes. Tout d'abord, l'application contactera une URL codée en dur appartenant à son serveur Command-and-Control (C2, C&C). Après avoir établi une connexion au C2, l'extension AddScript récupère un JavaScript corrompu, puis l'exécute en mode silencieux. Un signe possible des activités secrètes que les utilisateurs pourraient remarquer est une augmentation anormale de la consommation des ressources du processeur.
Les fonctions exactes du code fourni peuvent varier, en fonction du schéma spécifique que les opérateurs des applications exécutent. Par exemple, l'extension AddScript peut exécuter des vidéos dans les onglets ouverts dans le navigateur de l'utilisateur pour générer des bénéfices basés sur les supposées "vues". Une autre possibilité est que l'application intrusive exécute un schéma connu sous le nom de "cookie stuffing"/"cookie drop". Cela implique de déployer des cookies d'affiliation sur l'appareil concerné. Par la suite, les fraudeurs peuvent réclamer des commissions pour les transactions falsifiées et le trafic qui n'a pas eu lieu.
