Empreses MyCrypto i PhishFort
Per a alguns complements, amb l'ajuda d'usuaris ficticis, es va mantenir artificialment una valoració positiva i es van publicar ressenyes positives. Google va eliminar aquests complements de Chrome Web Store en les 24 hores següents a la notificació. La publicació dels primers complements maliciosos va començar al febrer, però el pic es va produir al març (34.69%) i a l'abril (63.26%).
La creació de tots els complements està associada a un grup d'atacants, que va desplegar 14 servidors de control per gestionar codi maliciós i recopilar dades interceptades pels complements. Tots els complements utilitzaven codi maliciós estàndard, però els complements es van camuflar com a productes diferents,
Durant la configuració inicial del complement, les dades es van enviar a un servidor extern i després d'un temps els fons es van carregar de la cartera.
Font: opennet.ru