Notamment, malgré le nombre impressionnant d'installations, aucun des modules complémentaires problématiques n'a reçu d'avis d'utilisateurs, ce qui soulève des questions sur la manière dont les modules complémentaires ont été installés et sur la manière dont les activités malveillantes n'ont pas été détectées. Tous les modules complémentaires problématiques ont désormais été supprimés du Chrome Web Store.
Selon les chercheurs, les activités malveillantes liées aux modules complémentaires bloqués se poursuivent depuis janvier 2019, mais les domaines individuels utilisés pour effectuer des actions malveillantes ont été enregistrés en 2017.
Pour la plupart, les modules complémentaires malveillants étaient présentés comme des outils permettant de promouvoir des produits et de participer à des services publicitaires (l'utilisateur visualise des publicités et perçoit des redevances). Les modules complémentaires utilisaient une technique de redirection vers des sites annoncés lors de l'ouverture de pages, qui étaient affichées en chaîne avant d'afficher le site demandé.
Tous les modules complémentaires utilisaient la même technique pour masquer les activités malveillantes et contourner les mécanismes de vérification des modules complémentaires dans le Chrome Web Store. Le code de tous les modules complémentaires était presque identique au niveau source, à l'exception des noms de fonctions, qui étaient uniques dans chaque module complémentaire. La logique malveillante a été transmise depuis des serveurs de contrôle centralisés. Initialement, le module complémentaire était connecté à un domaine portant le même nom que le nom du module complémentaire (par exemple, Mapstrek.com), après quoi il a été redirigé vers l'un des serveurs de contrôle, qui a fourni un script pour d'autres actions. .
Certaines des actions effectuées via des modules complémentaires incluent le téléchargement de données utilisateur confidentielles sur un serveur externe, le transfert vers des sites malveillants et l'installation d'applications malveillantes (par exemple, un message s'affiche indiquant que l'ordinateur est infecté et un logiciel malveillant est proposé sous sous couvert d'une mise à jour d'un antivirus ou d'un navigateur). Les domaines vers lesquels les redirections ont été effectuées comprennent divers domaines et sites de phishing permettant d'exploiter des navigateurs non mis à jour contenant des vulnérabilités non corrigées (par exemple, après l'exploitation, des tentatives ont été faites pour installer des logiciels malveillants qui ont intercepté les clés d'accès et analysé le transfert de données confidentielles via le presse-papiers).
Source: opennet.ru