Theo thông tin từ ReasonLabs, phần mềm độc hại này đã sử dụng các phương pháp tinh vi để lừa đảo người dùng. Chúng thường được phát tán qua các trang web giả mạo quảng cáo phần mềm hấp dẫn như Roblox FPS Unlocker, TikTok Video Downloader, trình tải xuống YouTube, và VLC.
Khi người dùng cài đặt những phần mềm này, phần mềm độc hại sẽ tự động cài đặt các tiện ích mở rộng độc hại vào trình duyệt của họ.
Sau khi cài đặt, phần mềm độc hại sẽ thực thi một tập lệnh PowerShell để tải xuống và thực thi mã độc từ máy chủ từ xa. Đồng thời, nó cũng thay đổi thông số registry của Windows, buộc trình duyệt phải cài đặt các tiện ích mở rộng độc hại từ Chrome Web Store và Microsoft Edge Add-ons.
Các nhà nghiên cứu đã phát hiện ra nhiều tiện ích mở rộng độc hại liên quan đến chiến dịch này. Một số tiện ích mở rộng đã bị xóa khỏi Chrome Web Store, bao gồm:
Custom Search Bar – Hơn 40.000 người dùng
yglSearch – Hơn 40.000 người dùng
Qcom search bar – Hơn 40.000 người dùng
Qtr Search – Hơn 6.000 người dùng
Micro Search Chrome Extension – Hơn 180.000 người dùng (đã bị xóa)
Active Search Bar – Hơn 20.000 người dùng (đã bị xóa)
Your Search Bar – Hơn 40.000 người dùng (đã bị xóa)
Safe Search Eng – Hơn 35.000 người dùng (đã bị xóa)
Lax Search – Hơn 600 người dùng (đã bị xóa)
Các tiện ích mở rộng này có khả năng chiếm quyền điều khiển các truy vấn tìm kiếm, thay đổi trang chủ và chuyển hướng tìm kiếm thông qua máy chủ của kẻ tấn công, từ đó đánh cắp lịch sử duyệt web của người dùng.
Trong bối cảnh mối đe dọa ngày càng gia tăng, các chuyên gia bảo mật khuyến cáo người dùng cần thận trọng khi tải xuống phần mềm từ các trang web không rõ nguồn gốc. Người dùng nên thường xuyên kiểm tra các tiện ích mở rộng đã cài đặt trên trình duyệt của mình và gỡ bỏ ngay lập tức những tiện ích nghi ngờ.