Vaatamata muljetavaldavale installimiste arvule ei ole ühelgi probleemsel lisandmoodulil kasutajate arvustusi, mis tekitavad küsimusi selle kohta, kuidas lisandmoodulid installiti ja kuidas pahatahtlik tegevus jäi avastamata. Kõik probleemsed lisandmoodulid on nüüd Chrome'i veebipoest eemaldatud.
Teadlaste sõnul on blokeeritud lisandmoodulitega seotud pahatahtlik tegevus kestnud 2019. aasta jaanuarist, kuid üksikud pahatahtlike toimingute sooritamiseks kasutatud domeenid registreeriti juba 2017. aastal.
Enamasti esitleti pahatahtlikke lisandmooduleid kui vahendeid toodete reklaamimiseks ja reklaamiteenustes osalemiseks (kasutaja vaatab reklaame ja saab autoritasusid). Lisandmoodulid kasutasid lehtede avamisel reklaamitud saitidele ümbersuunamise tehnikat, mida näidati ahelana enne soovitud saidi kuvamist.
Kõik lisandmoodulid kasutasid sama tehnikat pahatahtliku tegevuse peitmiseks ja Chrome'i veebipoe pistikprogrammide kinnitusmehhanismidest möödahiilimiseks. Kõigi lisandmoodulite kood oli lähtetasemel peaaegu identne, välja arvatud funktsioonide nimed, mis olid igas lisandmoodulis ainulaadsed. Pahatahtlik loogika edastati tsentraliseeritud juhtimisserveritelt. Algselt ühendati lisandmoodul domeeniga, millel oli pistikprogrammi nimega sama nimi (näiteks Mapstrek.com), misjärel suunati see ümber ühte juhtserveritest, mis andis skripti edasiste toimingute jaoks. .
Mõned lisandmoodulite kaudu tehtavad toimingud hõlmavad konfidentsiaalsete kasutajaandmete üleslaadimist välisserverisse, pahatahtlikele saitidele edastamist ja pahatahtlike rakenduste installimist (näiteks kuvatakse teade, et arvuti on nakatunud ja alla pakutakse pahavara. viirusetõrje või brauseri värskenduse varjus). Domeenid, kuhu ümber suunati, hõlmavad mitmesuguseid andmepüügidomeene ja saite, mis kasutavad uuendamata brausereid, mis sisaldavad paigatamata turvaauke (näiteks pärast ärakasutamist üritati installida pahavara, mis püüdis kinni juurdepääsuvõtmed ja analüüsis konfidentsiaalsete andmete edastamist lõikelaua kaudu).
Allikas: opennet.ru