Predvsem kljub impresivnemu številu namestitev nobeden od problematičnih dodatkov nima ocene uporabnikov, kar sproža vprašanja o tem, kako so bili dodatki nameščeni in kako zlonamerna dejavnost ni bila odkrita. Vsi problematični dodatki so zdaj odstranjeni iz spletne trgovine Chrome.
Po mnenju raziskovalcev se zlonamerna dejavnost, povezana z blokiranimi dodatki, dogaja že od januarja 2019, vendar so bile posamezne domene, ki se uporabljajo za izvajanje zlonamernih dejanj, registrirane že leta 2017.
Zlonamerni dodatki so bili večinoma predstavljeni kot orodja za promocijo izdelkov in sodelovanje pri oglaševalskih storitvah (uporabnik gleda oglase in prejema licenčnine). Dodatki so uporabljali tehniko preusmeritve na oglaševana spletna mesta ob odpiranju strani, ki so bile verižno prikazane pred prikazom zahtevanega spletnega mesta.
Vsi dodatki so uporabili isto tehniko za skrivanje zlonamerne dejavnosti in obhod mehanizmov preverjanja dodatkov v spletni trgovini Chrome. Koda za vse dodatke je bila skoraj enaka na izvorni ravni, z izjemo imen funkcij, ki so bila edinstvena v vsakem dodatku. Zlonamerna logika je bila posredovana s centraliziranih nadzornih strežnikov. Sprva je bil dodatek povezan z domeno, ki je imela enako ime kot ime dodatka (na primer Mapstrek.com), nato pa je bil preusmerjen na enega od nadzornih strežnikov, ki je posredoval skripto za nadaljnje akcije .
Nekatera dejanja, ki se izvajajo prek dodatkov, vključujejo nalaganje zaupnih uporabniških podatkov na zunanji strežnik, posredovanje zlonamernim spletnim mestom in prepuščanje namestitvi zlonamernih aplikacij (prikaže se na primer sporočilo, da je računalnik okužen, pod pod krinko protivirusnega programa ali posodobitve brskalnika). Domene, na katere so bile izvedene preusmeritve, vključujejo različne phishing domene in mesta za izkoriščanje neposodobljenih brskalnikov, ki vsebujejo nepopravljene ranljivosti (na primer, po izkoriščanju so bili izvedeni poskusi namestitve zlonamerne programske opreme, ki je prestregla dostopne ključe in analizirala prenos zaupnih podatkov prek odložišča).
Vir: opennet.ru