Các tiện ích mở rộng được thiết kế để hỗ trợ người dùng tải xuống những video từ một số nền tảng phổ biến hiện có, bao gồm Facebook, Vimeo, Instagram, VK và các nền tảng khác. Được phân phối thông qua các cửa hàng ứng dụng chính thức, những tiện ích mở rộng này đã được khoảng 3 triệu người tải xuống. Mã độc trong các tiện ích mở rộng sẽ tải xuống phần mềm độc hại tới các máy tính người dùng.
Ngoài ra, những tiện ích mở rộng còn được thiết kế để chuyển hướng người dùng tới các trang web khác. Ngay sau khi người dùng nhấp vào một liên kết, thông tin về hoạt động sẽ được gửi tới một máy chủ kiểm soát hệ thống của kẻ tấn công. Máy chủ này có thể phản hồi bằng một lệnh chuyển hướng tới URL đã bị tấn công trước khi trang web mà họ muốn truy nhập phản hồi.
Ngoài việc thu thập nhật ký của tất cả người dùng đã nhấn chuột trong trình duyệt, những kẻ tấn công có thể lấy cắp thông tin cá nhân và các loại thông tin khác từ những máy bị lây nhiễm, bao gồm ngày sinh, địa chỉ email cùng với dữ liệu của thiết bị như thời gian đăng nhập, tên thiết bị, hệ điều hành, trình duyệt và các địa chỉ IP.
Avast tin rằng hoạt động này nhắm vào việc kiếm tiền từ lưu lượng truy nhập, những kẻ tấn công nhận được khoản thanh toán mỗi khi chuyển hướng thành công sang tên miền của bên thứ ba. Ngoài ra, các tiện ích mở rộng còn chuyển hướng tới những quảng cáo hoặc các trang web lừa đảo.
Hành vi này dường như đã tồn tại trong nhiều năm, nhưng không bị phát hiện. Theo Jan Rubín, một nhà nghiên cứu về phần mềm độc hại tại Avast, các tiện ích mở rộng có thể đã có sẵn phần mềm độc hại bên trong ngay từ đầu hoặc có thế đã lấy mã trong một bản cập nhật, sau khi các tiện ích mở rộng trở nên phổ biến.
Rubín cho biết: "Các cửa hậu (backdoor) của những tiện ích mở rộng được giấu kỹ và các tiện ích mở rộng này chỉ bắt đầu lộ rõ hoạt động độc hại sau khi được cài đặt vài ngày. Điều này gây khó khăn cho các phần mềm bảo mật.
Phần mềm độc hại này cũng khó bị phát hiện do khả năng ẩn mình của nó. Ví dụ, nếu người dùng tìm kiếm một trong các tên miền của phần mềm độc hại hoặc nếu người dùng là nhà phát triển web thì không có hoạt động bất chính nào xảy ra.
Theo giải thích của Avast: "Nó tránh lây nhiễm cho những người có kỹ năng cao trong phát triển web vì họ dễ dàng hơn trong việc tìm ra những tiện ích mở rộng đang hoạt động trên nền tảng".
Cả Google và Microsoft đã được thông báo về những phát hiện này và họ đã bắt đầu xóa các tiện ích mở rộng có vấn đề. Người dùng cũng nên tắt hoặc gỡ bỏ chúng nếu đã lỡ cài đặt.