Примітно, що незважаючи на значну кількість установок, жодне з проблемних доповнень не має відгуків користувачів, що наводить на питання про те, яким чином були встановлені доповнення і як шкідлива активність залишалася непоміченою. В даний час усі проблемні доповнення видалені із Chrome Web Store.
На думку дослідників, пов'язана із заблокованими доповненнями шкідлива діяльність ведеться з січня 2019 року, але окремі домени, які застосовувалися для виконання шкідливих дій, були зареєстровані ще у 2017 році.
В основному шкідливі доповнення подавалися як інструменти для просування товарів та участі в рекламних сервісах (користувач переглядає рекламу та отримує відрахування). У доповненнях застосовувалася техніка перенаправлення на рекламовані сайти при відкритті сторінок, які показувалися по ланцюжку перед відображенням запитаного сайту.
У всіх додатках використовувалася однотипна техніка для приховання шкідливої активності та обходу механізмів верифікації додатків у Chrome Web Store. Код усіх доповнень був практично ідентичний лише на рівні вихідних текстів, крім імен функцій, які у кожному доповненні були унікальні. Передача шкідливої логіки здійснювалася з централізованих управляючих серверів. Спочатку додаток підключався до домену, що має таке ж ім'я як і назва доповнення (наприклад, Mapstrek.com), після чого перенаправлявся на один із керуючих серверів, що віддавали сценарій подальших дій.
Серед додатків, що здійснюються через доповнення, згадується завантаження на зовнішній сервер конфіденційних даних користувача, прокидання на шкідливі сайти і потурання установці шкідливих програм (наприклад, виводиться повідомлення про зараження комп'ютера і пропонується шкідливе ПЗ під виглядом антивірусу або оновлення браузера). У числі доменів, на які здійснювалося перенаправлення, фігурують різні фішингові домени та сайти для експлуатації неоновлених браузерів, що містять невиправлені вразливості (наприклад, після експлуатації здійснювалися спроби встановлення шкідливих програм, що перехоплюють ключі доступу та аналізують передачу конфіденційних даних через буфер обміну).
Джерело: opennet.ru