Tin tặc đã phát tán những Extension này qua Facebook . Người dùng chỉ cần bấm vào những đường Link trong Facebook sẽ được đưa tới một trang web yêu cầu họ kiểm tra tuổi nhưng thay vì người dùng phải vào tuổi của mình thì nó lại yêu cầu họ cài đặt một trong nhiều Extension của Chrome .

Tất cả Extension này đều có tên kiểu như có chứa các từ “viral” , “age” và “verify” và được đặt trên Google Chrome Web Store khiến cho người dùng  không có cảm giác nghi ngờ về tính hợp pháp của những Extension này .

Kjaer đã nghiên cứu mã của một trong những Extension này và nhận thấy chúng có khả năng “ Đọc và thay đổi tất cả dữ liệu của bạn trên những trang web bạn truy cập” , điều đó cho phép nó điều khiển hoàn toàn những trang người dùng  truy cập .

Những Extension này bao gồm có 3 file . File đầu tiên là background.js là quy trình kiểm tra tuổi thực tế . File thứ hai là query-string.js được file thứ ba là install.js sử dụng . File thứ ba này là những hoạt động độc hại bao gồm cả việc kết nối tới một máy chủ để tải Script khác để thực hiện sau .

Kjaer nói rằng đoạn mã Script được tải về sau có thể thực hiện những yêu cầu và nhận những mệnh lệnh từ máy chủ CnC . Trong khi thử nghiệm , máy chủ CnC đã nói cho trình duyệt  của anh này truy cập tới URL Facebook để tiếp xúc với quyền truy cập Token tới tài khoản Facebook .

Bởi vì có quyền cho phép năng “ Đọc và thay đổi tất cả dữ liệu của bạn trên những trang web bạn truy cập” nên tin tặc có thể khôi phục được Token truy cập . Ngay khi tin tặc có Token truy cập máy chủ CnC ra lệnh cho trình duyệt  để cung cấp Like tới trang Facebook mà Kjaer chưa bao giờ thấy trước kia .

Kjaer cho biết những Extension độc hại này có khả năng đánh cắp mật khẩu kiểu Keylogger , thực hiện cuộc tấn công DDoS , đào Bitcoin , đọc email … qua trình duyệt  Chrome . Theo tính toán của anh này đã có khoảng 132.265 máy tính bị lây nhiễm những Extension độc hại trên trong Chrome .

Anh này đã thông báo vấn đề này tới Google để gỡ bỏ những Extension trên khỏi Chrome Web Store và đưa vào trong “danh sách đen” , điều đó có nghĩa là chúng sẽ bị gỡ bỏ tự động khỏi những trình duyệt  đã bị lây nhiễm .