AddScript injecteert kwaadaardige JavaScript-code

Securelist heeft onlangs een diepgaande blik geworpen op enkele van de meest voorkomende kwaadaardige browserextensies waarmee computergebruikers in de eerste helft van 2022 te maken hadden. Een daarvan is de extensie AddScript.

Volgens Securelist-onderzoekers kunnen extensies die tot de AddScript-familie van varianten behoren een soort van nuttige functionaliteit bevatten, maar ze voeren ook een aantal kwaadaardige activiteiten uit onder de motorkap.

De kwaadaardige code in AddScript-klonen is verdoezeld. De extensie maakt verbinding met de command and control-server en ontvangt kwaadaardige JavaScript-code van de server. Er is geen spoor van de extra kwaadaardige code die wordt uitgevoerd, afgezien van een verhoogde systeembelasting, met name CPU-belasting.

De kwaadaardige JavaScript-inserts kunnen verschillende functies uitvoeren, waaronder het stil "bekijken" van video's op de computer van het slachtoffer, en daarbij inkomsten genereren voor de AddScript-operator. Verschillende varianten van AddScript voeren 'cookie stuffing' uit - de browser van het slachtoffer wordt gevuld met cookies die gewoonlijk worden verwijderd wanneer er op een aangesloten link wordt geklikt.

Sommige extensies met versies van AddScript zijn onder andere "SaveFrom.net helper" en "Y2Mate – Video Downloader".