Notavelmente, apesar do número impressionante de instalações, nenhum dos complementos problemáticos tem análises de usuários, levantando questões sobre como os complementos foram instalados e como as atividades maliciosas passaram despercebidas. Todos os complementos problemáticos foram removidos da Chrome Web Store.
Segundo os pesquisadores, atividades maliciosas relacionadas a complementos bloqueados ocorrem desde janeiro de 2019, mas domínios individuais usados para realizar ações maliciosas foram registrados em 2017.
Na sua maioria, os add-ons maliciosos foram apresentados como ferramentas para promover produtos e participar em serviços publicitários (o utilizador visualiza anúncios e recebe royalties). Os complementos utilizavam uma técnica de redirecionamento para sites anunciados ao abrir páginas, que eram mostradas em cadeia antes de exibir o site solicitado.
Todos os complementos usaram a mesma técnica para ocultar atividades maliciosas e ignorar os mecanismos de verificação de complementos na Chrome Web Store. O código de todos os complementos era quase idêntico no nível de origem, com exceção dos nomes das funções, que eram exclusivos em cada complemento. A lógica maliciosa foi transmitida de servidores de controle centralizados. Inicialmente, o add-on foi conectado a um domínio que tinha o mesmo nome do add-on (por exemplo, Mapstrek.com), após o qual foi redirecionado para um dos servidores de controle, que forneceu um script para ações posteriores .
Algumas das ações realizadas por meio de complementos incluem o upload de dados confidenciais do usuário para um servidor externo, o encaminhamento para sites maliciosos e a instalação de aplicativos maliciosos (por exemplo, é exibida uma mensagem informando que o computador está infectado e malware é oferecido sob sob o disfarce de um antivírus ou atualização do navegador). Os domínios para os quais foram feitos redirecionamentos incluem vários domínios e sites de phishing para explorar navegadores não atualizados contendo vulnerabilidades não corrigidas (por exemplo, após a exploração, foram feitas tentativas de instalar malware que interceptou chaves de acesso e analisou a transferência de dados confidenciais através da área de transferência).
Fonte: opennet.ru