ผู้สร้างมัลแวร์ใช้เทคนิคใหม่ในการกระจายมัลแวร์ โดยใช้วิธี "ซื้อ" ความเป็นเจ้าของส่วนเสริมหรือ extension บางตัวของ Chrome (ที่มีช่องโหว่เพราะถูกอัพเดตไฟล์อัตโนมัติผ่าน Chrome) เมื่อความเป็นเจ้าของเปลี่ยนมือแล้ว เจ้าของใหม่ก็จะเริ่มฝังโค้ดโฆษณาและมัลแวร์ลงไปใน extension ตัวนั้นๆ
เว็บไซต์ Ars Technica พบว่า extension ที่เจอปัญหานี้มี 2 ตัวคือ Add to Feedly กับ Tweet This Page ซึ่งเดิมทีเป็น extension ปกติ แต่เมื่อเจ้าของเปลี่ยนมือ (โดยไม่มีใครทราบ เพราะชื่อบัญชีในระบบของ Chrome Web Store ยังเป็นชื่อเดิม) พฤติกรรมของ extension พวกนี้ก็เริ่มเปลี่ยนไป
ตอนนี้กูเกิลลบ extension ทั้งสองตัวออกจาก Chrome Web Store แล้ว แต่ยังไม่มีอะไรการันตีว่าปัญหาจะไม่เกิดซ้ำกับ extension ตัวอื่นๆ โดยช่องโหว่ของการโจมตีลักษณะนี้อยู่ที่ผู้ใช้ "ให้สิทธิ" การอัพเดต extension ตั้งแต่การติดตั้งครั้งแรก และหลังจากนั้นมันก็สามารถอัพเดตตัวเองได้อัตโนมัติไปตลอดกาล (แถมโค้ดการโจมตีเป็น JavaScript ที่ตรวจจับจากโปรแกรมด้านความปลอดภัยได้ยาก)
ที่มา - Ars Technica, Digits