Wykryte przez zespół należącej do firmy Cisco spółki Duo Security we współpracy z niezależną ekspertką Jamilą Kayą rozszerzenia były częścią złożonej, realizowanej przez cyberprzestępców od dawna operacji pozyskującej dane z użyciem złośliwych reklam. Według specjalistów, wykryte przez nich rozszerzenia ukrywały swoją prawdziwą aktywność przed użytkownikami podszywając się pod dodatki pomagające zarządzać reklamą cyfrową i promocją treści w internecie, w rzeczywistości jednak - przekierowując użytkownika na coraz to nowe, złośliwe adresy sieciowe wyświetlające zarówno prawdziwe, jak i fałszywe reklamy - łączyły się z kontrolowaną przez hakerów infrastrukturą i przekazywały im dane takie, jak m.in. historia przeglądanych stron internetowych.
Dodatkowo, część stron, na które były przekierowywane osoby posiadające złośliwe rozszerzenia w swojej przeglądarce, była wykorzystywana do ataków phishingowych i mogła instalować na komputerze użytkowników złośliwe oprogramowanie.
Koncern , który jest operatorem przeglądarki Chrome, usunął ze sklepu z dodatkami do tego programu wszystkie wykryte przez specjalistów rozszerzenia. Zespół, który odkrył złośliwe wtyczki, podkreślił, że choć kilkaset dodatków do przeglądarki różniło się wyraźnie między sobą, wszystkie zawierały niemal identyczny kod źródłowy - można zatem założyć, iż pochodziły od jednej grupy hakerskiej.
Kampania cyberprzestępcza realizowana z ich użyciem była aktywna co najmniej od stycznia ubiegłego roku, a swój punkt kulminacyjny osiągnęła pomiędzy marcem a czerwcem 2019 r. Eksperci zaznaczyli jednak, iż nie należy wykluczyć, że operatorzy kampanii byli aktywni nawet od roku 2017
