Компанії MyCrypto та PhishFort
Для деяких доповнень за допомогою фіктивних користувачів штучно підтримувався позитивний рейтинг та публікувалися позитивні відгуки. Компанія Google видаляла ці додатки з каталогу Chrome Web Store протягом 24 годин після повідомлення. Публікація перших шкідливих доповнень розпочалася у лютому, але пік припав на березень (34.69%) та квітень (63.26%).
Створення всіх доповнень пов'язується з однією групою атакуючих, що розгорнула 14 керуючих серверів для управління шкідливим кодом і збору даних, що перехоплюються доповненнями. У всіх доповненнях використовувався типовий шкідливий код, але самі доповнення камуфлювали під різні продукти,
У процесі початкового налаштування доповнення дані надсилалися на зовнішній сервер і через якийсь час з гаманця списувалися кошти.
Джерело: opennet.ru