根据慢雾安全团队捕获的情报显示,一些浏览器扩展存在恶意行为,会定向针对用户所在的全球知名加密货币服务平台(其中包括:LocalBitcoins、Yandex、Coinbase、Blockchain.com、火币、OKEx、币安等)及全球知名邮箱服务(其中包括:Gmail、Yahoo Mail、Live Mail、Mail.ru、QQ Mail 等)进行针对性盗币攻击。通过源码取证分析,盗取邮箱权限的目的是应对一些加密货币服务平台的双因素认证及进一步通过邮箱权限完全控制用户的相关账号权限。