Je pozoruhodné, že navzdory působivému počtu instalací nemá žádný z problematických doplňků uživatelskou recenzi, což vyvolává otázky o tom, jak byly doplňky nainstalovány a jak byla škodlivá aktivita neodhalena. Všechny problematické doplňky byly nyní z Internetového obchodu Chrome odstraněny.
Podle výzkumníků dochází k škodlivé činnosti související s blokovanými doplňky od ledna 2019, ale jednotlivé domény používané k provádění škodlivých akcí byly zaregistrovány již v roce 2017.
Škodlivé doplňky byly z velké části prezentovány jako nástroje pro propagaci produktů a účast na reklamních službách (uživatel si prohlíží reklamy a dostává honoráře). Doplňky využívaly techniku přesměrování na inzerované weby při otevírání stránek, které se před zobrazením požadovaného webu zobrazovaly v řetězci.
Všechny doplňky používaly stejnou techniku ke skrytí škodlivé aktivity a obcházení mechanismů ověřování doplňků v Internetovém obchodě Chrome. Kód pro všechny doplňky byl na úrovni zdroje téměř identický, s výjimkou názvů funkcí, které byly v každém doplňku jedinečné. Škodlivá logika byla přenesena z centralizovaných řídicích serverů. Zpočátku byl doplněk připojen k doméně, která měla stejný název jako název doplňku (například Mapstrek.com), poté byl přesměrován na jeden z řídicích serverů, který poskytl skript pro další akce. .
Některé z akcí prováděných prostřednictvím doplňků zahrnují nahrávání důvěrných uživatelských dat na externí server, přeposílání na škodlivé stránky a vyžívání se v instalaci škodlivých aplikací (například se zobrazí zpráva, že počítač je infikován a malware je nabízen pod maska antiviru nebo aktualizace prohlížeče). Domény, na které byla přesměrována, zahrnují různé phishingové domény a stránky pro zneužívání neaktualizovaných prohlížečů obsahujících neopravené zranitelnosti (například po zneužití došlo k pokusům o instalaci malwaru, který zachytil přístupové klíče a analyzoval přenos důvěrných dat přes schránku).
Zdroj: opennet.ru