MyCrypto és PhishFort cégek
Egyes kiegészítők esetében fiktív felhasználók segítségével mesterségesen fenntartották a pozitív értékelést, és pozitív értékeléseket tettek közzé. A Google az értesítést követő 24 órán belül eltávolította ezeket a bővítményeket a Chrome Internetes áruházból. Az első rosszindulatú kiegészítők közzététele februárban kezdődött, de a csúcsot márciusban (34.69%) és áprilisban (63.26%) érte el.
Az összes bővítmény létrehozása a támadók egy csoportjához kapcsolódik, amely 14 vezérlőkiszolgálót telepített a rosszindulatú kódok kezelésére és a bővítmények által elfogott adatok összegyűjtésére. Minden kiegészítő szabványos rosszindulatú kódot használt, de magukat a kiegészítőket különböző termékekként álcázták,
A bővítmény kezdeti beállítása során az adatokat egy külső szerverre küldték, majd egy idő után az összeget levonták a pénztárcáról.
Forrás: opennet.ru