Awake Security Company om at identificere til Google Chrome, og sender fortrolige brugerdata til eksterne servere. Tilføjelserne havde også adgang til at tage skærmbilleder, læse indholdet af udklipsholderen, analysere tilstedeværelsen af adgangstokens i cookies og opsnappe input i webformularer. I alt udgjorde de identificerede ondsindede tilføjelser 32.9 millioner downloads i Chrome Webshop, og den mest populære (Search Manager) blev downloadet 10 millioner gange og inkluderer 22 tusind anmeldelser.
Det antages, at alle de overvejede tilføjelser blev udarbejdet af et hold angribere, da i alt en typisk ordning til distribution og organisering af indsamlingen af fortrolige data, samt fælles designelementer og gentaget kode. med ondsindet kode blev placeret i Chrome Store-kataloget og blev allerede slettet efter at have sendt en notifikation om ondsindet aktivitet. Mange ondsindede tilføjelser kopierede funktionaliteten af forskellige populære tilføjelser, inklusive dem, der havde til formål at give ekstra browsersikkerhed, øge søgebeskyttelse, PDF-konvertering og formatkonvertering.
Tilføjelsesudviklere postede først en ren version uden skadelig kode i Chrome Store, gennemgik peer review og tilføjede derefter ændringer i en af de opdateringer, der indlæste skadelig kode efter installationen. For at skjule spor af ondsindet aktivitet blev der også brugt en selektiv responsteknik - den første anmodning returnerede en ondsindet download, og efterfølgende anmodninger returnerede mistænkelige data.
De vigtigste måder, hvorpå ondsindede tilføjelser spredes, er gennem promovering af websteder med et professionelt udseende (som på billedet nedenfor) og placering i Chrome Webshop, hvorved man omgår verifikationsmekanismer til efterfølgende download af kode fra eksterne websteder. For at omgå begrænsningerne for kun at installere tilføjelser fra Chrome Webshop, distribuerede angriberne separate samlinger af Chromium med forudinstallerede tilføjelser og installerede dem også gennem reklameapplikationer (adware), der allerede var til stede i systemet. Forskere analyserede 100 netværk af finansielle, medie-, medicinske, farmaceutiske, olie- og gas- og handelsvirksomheder samt uddannelses- og statsinstitutioner og fandt spor af tilstedeværelsen af de ondsindede tilføjelser i næsten alle af dem.
Under kampagnen for at distribuere ondsindede tilføjelser, mere end , krydser populære websteder (f.eks. gmaille.com, youtubeunblocked.net osv.) eller registreret efter udløbet af fornyelsesperioden for tidligere eksisterende domæner. Disse domæner blev også brugt i infrastrukturen til administration af skadelig aktivitet og til at downloade ondsindede JavaScript-indsættelser, der blev udført i sammenhæng med de sider, som brugeren åbnede.
Forskere havde mistanke om en sammensværgelse med Galcomm-domæneregistratoren, hvor 15 tusinde domæner for ondsindede aktiviteter blev registreret (60 % af alle domæner udstedt af denne registrator), men Galcomm-repræsentanter Disse antagelser indikerede, at 25 % af de anførte domæner allerede er blevet slettet eller ikke var udstedt af Galcomm, og resten, næsten alle, er inaktive parkerede domæner. Repræsentanter for Galcomm rapporterede også, at ingen kontaktede dem før offentliggørelsen af rapporten, og de modtog en liste over domæner, der blev brugt til ondsindede formål fra en tredjepart og er nu i gang med at analysere dem.
Forskerne, der identificerede problemet, sammenligner de ondsindede tilføjelser med et nyt rootkit - hovedaktiviteten for mange brugere udføres gennem en browser, hvorigennem de får adgang til delt dokumentlagring, virksomhedsinformationssystemer og finansielle tjenester. Under sådanne forhold giver det ingen mening for angribere at lede efter måder at kompromittere operativsystemet fuldstændigt for at installere et fuldgyldigt rootkit - det er meget nemmere at installere en ondsindet browsertilføjelse og kontrollere strømmen af fortrolige data gennem det. Ud over at overvåge transitdata kan tilføjelsen anmode om tilladelser til at få adgang til lokale data, et webkamera eller placering. Som praksis viser, er de fleste brugere ikke opmærksomme på de ønskede tilladelser, og 80 % af de 1000 populære tilføjelser anmoder om adgang til dataene på alle behandlede sider.
Kilde: opennet.ru