Usunięte rozszerzenia udawały legalne aplikacje takie jak Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, czy KeepKey.
Wiele wskazuje na to, że za oszustwem stoi jedna grupa przestępcza. Wszystkie aplikacje zawierały ten sam kod – różniły się wyłącznie brandingiem. Dane podane na etapie konfiguracji trafiły na serwery command&control. Na ten moment udało się namierzyć 14 z nich. Większość została uruchomiona zaledwie przed kilkoma tygodniami.
Co ciekawe, kradzież zgromadzonych środków następowała dopiero po pewnym czasie. Specjaliści z MyCrypto podejrzewają, że być może przestępcy byli zainteresowani wyłącznie użytkownikami, którzy zgromadzili spore zapasy kryptowalut. Jest też całkiem możliwe, że atakujący nie byli w stanie zautomatyzować tych operacji i aby wykraść środki musieli się logować do każdego z portfeli manualnie.
Przestępcy postarali się również o pozytywny PR dla swoich rozszerzeń. Niektóre z nich cieszyły się bardzo dużym zaufaniem społeczności (pięć gwiazdek!) oraz posiadały liczne opinie w stylu „Dobra”, „Przydatna aplikacja”, „Legalne rozszerzenie”. Przestępców poniosła również fantazja. Jeden z wielokrotnie kopiowanych komentarzy zachwalał MyEtherWallet jako najlepszą wtyczkę dla posiadaczy Bitcoin. Tyle, że prawdziwe MyEtherWallet nie obsługuje tej kryptowaluty.