Вредоносные расширения обнаружил датский студент по имени Максим Кейа (Maxime Kjaer). Он заметил, что злоумышленники распространяют в Facebook ссылки на сомнительный сайт, проверяющий возраст посетителей. Метод проверки необычен: сайт требует установить специальное расширение для браузера. Впрочем, пользователи привыкли и не к такому и послушно делают, что велено. Все расширения, распространявшиеся таким образом, имели похожие названия, состоящие из различных комбинаций слов "возраст", "проверка" и "вирусный" (aga, verify, viral), и были загружены на официальный сайт Google. Это помогало злоумышленникам убедить в безвредности затеи особенно осторожных пользователей. После установки вредоносные расширения требовали максимальных прав и работали от момента запуска браузера и до его закрытия. К проверке возраста эти программы не имели ни малейшего отношения. Расширения состояли из трёх файлов. Один из них представляет собой безвредный модуль для разбора URL, а функциональность сосредоточена в двух других: background.js и install.js. Один имитирует процесс проверки возраста, а другой при первой же возможности загружает с сервера злоумышленников ещё один скрипт. Вся вредоносная функциональность скрывается именно в нём. Такая многоступенчатая схема установки понадобилась для того, чтобы обмануть автоматику Google. Она может заметить и остановить откровеную малварь, которая включена в состав самого расширения, но не следит за тем, что оно делает уже после установки. Загруженный скрипт подключается к командному серверу и исполняет получаемые указания. В данный момент его основная функциональность заключается в захвате учётных записей Facebook. Кейа пишет, что после входа в социальную сеть расширение передало на командный сервер токен доступа к его аккаунту Facebook. Токен позволил софту злоумышленников действовать от его имени. Тот немедленно воспользовался такой возможностью и начал расставлять рекламные лайки. По подсчётам Кейа, вредоносные аддоны установлены на 132265 компьютеров.
В Google Chrome Web Store нашли целые залежи вредоносных расширений для браузера Google Chrome. Они обманом попадали на компьютеры своих жертв, а потом похищали их учётные записи в социальной сети. Кроме того, эти расширения могли использоваться для проведения DDoS-атак, кражи паролей, добычи Bitcoin — и это ещё не полный список.