Հատկանշական է, որ չնայած տեղադրումների տպավորիչ քանակին, խնդրահարույց հավելումներից և ոչ մեկը չունի օգտատերերի ակնարկներ, ինչը հարցեր է առաջացնում այն մասին, թե ինչպես են տեղադրվել հավելումները և ինչպես են վնասակար գործունեությունը չբացահայտված: Բոլոր խնդրահարույց հավելումները այժմ հեռացվել են Chrome Web Store-ից:
Ըստ հետազոտողների՝ արգելափակված հավելումների հետ կապված վնասակար գործունեությունը շարունակվում է 2019 թվականի հունվարից, սակայն վնասակար գործողություններ կատարելու համար օգտագործվող անհատական տիրույթները գրանցվել են դեռևս 2017 թվականին։
Հիմնականում վնասակար հավելումները ներկայացվել են որպես ապրանքների առաջմղման և գովազդային ծառայություններին մասնակցելու գործիքներ (օգտատերը դիտում է գովազդը և ստանում հոնորարներ): Հավելումներն օգտագործում էին գովազդվող կայքերին վերահղման տեխնիկա՝ էջեր բացելիս, որոնք ցուցադրվում էին շղթայով նախքան պահանջվող կայքը ցուցադրելը։
Բոլոր հավելումները օգտագործում էին նույն տեխնիկան՝ թաքցնելու վնասակար գործունեությունը և շրջանցելու հավելումների ստուգման մեխանիզմները Chrome Web Store-ում: Բոլոր հավելումների կոդը սկզբնական մակարդակում գրեթե նույնական էր, բացառությամբ գործառույթների անունների, որոնք եզակի էին յուրաքանչյուր հավելումում: Վնասակար տրամաբանությունը փոխանցվել է կենտրոնացված կառավարման սերվերներից: Ի սկզբանե հավելումը միացված էր մի տիրույթի, որն ուներ հավելման անվան հետ նույն անվանումը (օրինակ՝ Mapstrek.com), որից հետո այն վերահղվեց դեպի վերահսկիչ սերվերներից մեկը, որը տրամադրեց սկրիպտ հետագա գործողությունների համար։ .
Հավելվածների միջոցով իրականացվող որոշ գործողություններ ներառում են օգտատիրոջ գաղտնի տվյալների վերբեռնումը արտաքին սերվեր, վերահասցեավորում դեպի վնասակար կայքեր և չարամիտ հավելվածների տեղադրում (օրինակ, ցուցադրվում է հաղորդագրություն, որ համակարգիչը վարակված է, և չարամիտ ծրագիր է առաջարկվում տակ հակավիրուսային կամ բրաուզերի թարմացման դիմակ): Այն տիրույթները, որոնց վերահղումները կատարվել են, ներառում են տարբեր ֆիշինգային տիրույթներ և կայքեր՝ չթարմացված բրաուզերների շահագործման համար, որոնք պարունակում են չկարկատանային խոցելիություններ (օրինակ, շահագործումից հետո փորձեր են արվել տեղադրել չարամիտ ծրագրեր, որոնք խափանում են մուտքի բանալիները և վերլուծում գաղտնի տվյալների փոխանցումը clipboard-ի միջոցով):
Source: opennet.ru