Je pozoruhodné, že napriek pôsobivému počtu inštalácií žiadny z problematických doplnkov nemá používateľské recenzie, čo vyvoláva otázky o tom, ako boli doplnky nainštalované a ako bola škodlivá aktivita neodhalená. Všetky problematické doplnky boli teraz z Internetového obchodu Chrome odstránené.
Podľa výskumníkov škodlivá aktivita súvisiaca so zablokovanými doplnkami prebieha od januára 2019, ale jednotlivé domény používané na vykonávanie škodlivých akcií boli zaregistrované už v roku 2017.
Škodlivé doplnky boli väčšinou prezentované ako nástroje na propagáciu produktov a účasť na reklamných službách (používateľ si prezerá reklamy a dostáva autorské honoráre). Doplnky využívali pri otváraní stránok techniku presmerovania na inzerované stránky, ktoré sa pred zobrazením žiadanej stránky zobrazovali v reťazci.
Všetky doplnky používali rovnakú techniku na skrytie škodlivej aktivity a obídenie mechanizmov overovania doplnkov v Internetovom obchode Chrome. Kód pre všetky doplnky bol na úrovni zdroja takmer identický, s výnimkou názvov funkcií, ktoré boli v každom doplnku jedinečné. Škodlivá logika bola prenesená z centralizovaných riadiacich serverov. Spočiatku bol doplnok pripojený k doméne, ktorá mala rovnaký názov ako názov doplnku (napríklad Mapstrek.com), potom bol presmerovaný na jeden z riadiacich serverov, ktorý poskytol skript pre ďalšie akcie. .
Niektoré z akcií vykonávaných prostredníctvom doplnkov zahŕňajú nahrávanie dôverných používateľských údajov na externý server, preposielanie na škodlivé stránky a vyžívanie sa v inštalácii škodlivých aplikácií (napríklad sa zobrazí správa, že počítač je infikovaný a malvér je ponúkaný pod maska antivírusu alebo aktualizácie prehliadača). Medzi domény, na ktoré boli vykonané presmerovania, patria rôzne phishingové domény a stránky na zneužívanie neaktualizovaných prehliadačov obsahujúcich neopravené zraniteľnosti (napríklad po zneužití došlo k pokusom o inštaláciu malvéru, ktorý zachytával prístupové kľúče a analyzoval prenos dôverných údajov cez schránku).
Zdroj: opennet.ru