Die IT-Forscher haben bislang über 40 solcher Malware-Erweiterungen entdeckt. Die Kampagne laufe noch, und einige der schädlichen Add-ons seien sogar noch im Firefox-Marketplace erhältlich. Koi Security zufolge begann die Kampagne spätestens im April dieses Jahres. Bis zur letzten Woche luden die Verbrecher noch neue, bösartige Erweiterungen in den Firefox-Add-on-Store hoch. Die IT-Forscher diskutieren, dass solche fortwährenden Uploads darauf hinweisen, dass die Operation noch aktiv, nachhaltig und sich weiterentwickelnd ist.

Die Erweiterungen holen die Zugangsdaten der Wallets direkt von deren Ziel-Webseiten und senden sie an einen Server im Internet, der von den Angreifern kontrolliert wird. Die Add-ons übertragen dabei auch die externe IP-Adresse des Opfers, wahrscheinlich zur Nachverfolgung.

Die Kampagne nutzt die üblichen Marktplatz-Mechanismen, um das Vertrauen von potentiellen Nutzern zu erschleichen. Mit den Bewertungen, Rezensionen, Branding und Funktionen soll das Vertrauen der Nutzer gestärkt und die Anzahl der Installationen erhöht werden. Die schädlichen Add-ons haben teilweise hunderte von gefälschten 5-Sterne-Bewertungen erhalten, die die Anzahl der Nutzer weit übertreffen. Dies lässt vermuten, dass ein Add-on als weit verbreitet und positiv angesehen gilt. Außerdem nehmen die kriminellen Drahtzieher das offizielle Branding legitimer Wallet-Tools als Vorbild und verwenden identische Logos und Namen. Bei bestimmten Erweiterungen haben die Täter auch die Open-Source-Natur ausgenutzt, indem sie den Code um Funktionen zum Stehlen der Zugangsdaten ergänzt haben. Sie scheinen wie beabsichtigt zu funktionieren und haben nur die unbemerkte Nebenwirkung, Zugangsdaten zu stehlen. Eine Entdeckung der bösen Absichten macht dies deutlich schwerer.

Koi Security nimmt an, dass es sich um Akteure aus Russland handelt, da der Code einige russische Kommentare enthält. Auch Metadaten in einer PDF-Datei von einem Command-and-Control-Server weisen darauf hin.