AddScript

Los operadores de PUP (programas potencialmente no deseados) y los actores de amenazas continúan confiando en la familia de extensiones de navegador AddScript como fuente para nuevas aplicaciones intrusivas. Las primeras aplicaciones AddScript fueron identificadas por investigadores de ciberseguridad en 2019 y desde entonces la familia se ha mantenido bastante activa. Los expertos en malware publicaron detalles sobre este grupo particular de aplicaciones y las actividades generales de adware y extensiones de navegador dañinas.

Según los investigadores, las aplicaciones AddScript se difunden principalmente bajo la apariencia de útiles herramientas multimedia. Más específicamente, prometen a los usuarios la capacidad de descargar contenido de audio y video elegido de varias fuentes, como las redes sociales. Otro rol popular que se ve en las aplicaciones AddScript es el de administradores de proxy. Una característica importante de esta familia de amenazas es que sus miembros casi siempre son capaces de llevar a cabo las funcionalidades prometidas, como una forma de no levantar sospechas y asegurarse de que los usuarios no las eliminen. Las aplicaciones que se ha confirmado que pertenecen a esta familia incluyen Y2Mate - Video Downloader, el asistente SaveFrom.net , el asistente proxy friGate3, etc.

Sin embargo, en el fondo del sistema, la extensión AddScript procederá a realizar sus nefastos objetivos. Primero, la aplicación se comunicará con una URL codificada que pertenece a su servidor de comando y control (C2, C&C). Después de establecer una conexión con el C2, la extensión AddScript buscará un JavaScript corrupto y luego lo ejecutará en silencio. Una posible señal de las actividades encubiertas que los usuarios pueden notar es un aumento anormal en el consumo de recursos de la CPU.

Las funciones exactas del código entregado pueden variar, según el esquema específico que ejecutan los operadores de las aplicaciones. Por ejemplo, la extensión AddScript puede ejecutar videos en las pestañas abiertas en el navegador del usuario para generar ganancias basadas en las supuestas 'vistas'. Otra posibilidad es que la aplicación intrusiva realice un esquema conocido como 'relleno de cookies'/'caída de cookies'. Implica implementar cookies de afiliados en el dispositivo afectado. Posteriormente, los estafadores pueden reclamar comisiones por transacciones falsificadas y tráfico que no se ha producido.