In particolare, nonostante l'impressionante numero di installazioni, nessuno dei componenti aggiuntivi problematici dispone di recensioni da parte degli utenti, sollevando dubbi su come sono stati installati i componenti aggiuntivi e su come le attività dannose non sono state rilevate. Tutti i componenti aggiuntivi problematici sono stati ora rimossi dal Chrome Web Store.
Secondo i ricercatori, l’attività dannosa associata ai componenti aggiuntivi bloccati è in corso da gennaio 2019, ma i singoli domini utilizzati per eseguire azioni dannose sono stati registrati già nel 2017.
Nella maggior parte dei casi, i componenti aggiuntivi dannosi venivano presentati come strumenti per promuovere prodotti e partecipare a servizi pubblicitari (l'utente visualizza annunci pubblicitari e riceve royalties). I componenti aggiuntivi utilizzavano una tecnica di reindirizzamento ai siti pubblicizzati all'apertura delle pagine, che venivano mostrate in una catena prima di visualizzare il sito richiesto.
Tutti i componenti aggiuntivi utilizzavano la stessa tecnica per nascondere attività dannose e aggirare i meccanismi di verifica dei componenti aggiuntivi nel Chrome Web Store. Il codice di tutti i componenti aggiuntivi era quasi identico a livello di sorgente, ad eccezione dei nomi delle funzioni, che erano univoci in ciascun componente aggiuntivo. La logica dannosa è stata trasmessa da server di controllo centralizzati. Inizialmente, il componente aggiuntivo era connesso a un dominio che aveva lo stesso nome del componente aggiuntivo (ad esempio Mapstrek.com), dopodiché veniva reindirizzato a uno dei server di controllo, che forniva uno script per ulteriori azioni .
Alcune delle azioni eseguite tramite componenti aggiuntivi includono il caricamento di dati utente riservati su un server esterno, l'inoltro a siti dannosi e l'installazione di applicazioni dannose (ad esempio, viene visualizzato un messaggio che informa che il computer è infetto e viene offerto malware sotto sotto forma di un antivirus o di un aggiornamento del browser). Tra i domini verso i quali sono stati effettuati i reindirizzamenti figurano diversi domini di phishing e siti per lo sfruttamento di browser non aggiornati che contengono vulnerabilità senza patch (ad esempio, dopo l'attacco si è tentato di installare un malware che intercettasse le chiavi di accesso e analizzasse la trasmissione di dati riservati tramite gli appunti).
Fonte: opennet.ru