Ettevõtted MyCrypto ja PhishFort
Mõne lisandmooduli puhul säilitati fiktiivsete kasutajate abiga kunstlikult positiivne hinnang ja avaldati positiivsed arvustused. Google eemaldas need lisandmoodulid Chrome'i veebipoest 24 tunni jooksul pärast teavitamist. Esimeste pahatahtlike lisandmoodulite avaldamine algas veebruaris, kuid tipphetk saabus märtsis (34.69%) ja aprillis (63.26%).
Kõikide lisandmoodulite loomine on seotud ühe ründajate rühmaga, mis juurutas 14 kontrollserverit, et hallata pahatahtlikku koodi ja koguda lisandmoodulite poolt kinni võetud andmeid. Kõik lisandmoodulid kasutasid standardset pahatahtlikku koodi, kuid lisandmoodulid ise olid maskeeritud erinevate toodetena,
Lisandmooduli esmase seadistamise ajal saadeti andmed välisserverisse ja mõne aja pärast debiteeriti raha rahakotist.
Allikas: opennet.ru