Veçanërisht, pavarësisht numrit mbresëlënës të instalimeve, asnjë nga shtesat problematike nuk ka komente të përdoruesve, duke ngritur pyetje se si u instaluan shtesat dhe se si aktiviteti keqdashës nuk u zbulua. Të gjitha shtesat problematike tani janë hequr nga Dyqani i Uebit i Chrome.
Sipas studiuesve, aktiviteti keqdashës në lidhje me shtesat e bllokuara ka vazhduar që nga janari 2019, por domenet individuale të përdorura për të kryer veprime me qëllim të keq u regjistruan në vitin 2017.
Në pjesën më të madhe, shtesat me qëllim të keq u paraqitën si mjete për promovimin e produkteve dhe pjesëmarrjen në shërbimet e reklamimit (përdoruesi shikon reklamat dhe merr honorare). Shtesat përdorën një teknikë të ridrejtimit në faqet e reklamuara gjatë hapjes së faqeve, të cilat tregoheshin në një zinxhir përpara se të shfaqnin faqen e kërkuar.
Të gjitha shtesat përdorën të njëjtën teknikë për të fshehur aktivitetin keqdashës dhe për të anashkaluar mekanizmat e verifikimit të shtesave në Dyqanin e Uebit të Chrome. Kodi për të gjitha shtesat ishte pothuajse identik në nivelin e burimit, me përjashtim të emrave të funksioneve, të cilët ishin unik në secilën shtesë. Logjika me qëllim të keq u transmetua nga serverët e centralizuar të kontrollit. Fillimisht, shtesa u lidh me një domen që kishte të njëjtin emër me emrin e shtesës (për shembull, Mapstrek.com), pas së cilës u ridrejtua në një nga serverët e kontrollit, i cili siguroi një skript për veprime të mëtejshme .
Disa nga veprimet e kryera përmes shtesave përfshijnë ngarkimin e të dhënave konfidenciale të përdoruesit në një server të jashtëm, përcjelljen në sajte me qëllim të keq dhe kënaqjen në instalimin e aplikacioneve me qëllim të keq (për shembull, shfaqet një mesazh që kompjuteri është i infektuar dhe malware ofrohet nën maskën e një antivirusi ose përditësimi të shfletuesit). Domenet në të cilat janë bërë ridrejtimet përfshijnë domene të ndryshme phishing dhe sajte për shfrytëzimin e shfletuesve të pa përditësuar që përmbajnë dobësi të papatchuara (për shembull, pas shfrytëzimit, u bënë përpjekje për të instaluar malware që përgjonin çelësat e aksesit dhe analizonin transferimin e të dhënave konfidenciale nëpërmjet kujtesës).
Burimi: opennet.ru