Una vez instalada, la extensión maliciosa permanece inactiva hasta que el usuario accede a una página web relacionada con bancos o pagos. En ese momento, el malware utiliza una técnica de manipulación del DOM (Document Object Model) para alterar visualmente el sitio, presentando formularios falsos con la apariencia legítima de la entidad bancaria. Toda la información que la víctima ingresa en estos formularios, como credenciales de acceso o datos personales, es capturada y enviada a un servidor controlado por los ciberdelincuentes. Además, la extensión tiene la capacidad de reemplazar en tiempo real los datos de billeteras de criptomonedas o cuentas bancarias del usuario por los de los atacantes durante una transacción, desviando así las transferencias de fondos. Los investigadores de ESET notaron que el código del malware contiene palabras en portugués, lo que sugiere que la operación podría tener un origen o alcance que trasciende las fronteras de un solo país. Se recomienda a los usuarios verificar siempre la fuente de las extensiones antes de instalarlas y desconfiar de archivos adjuntos inesperados.