O atacante adicionou dezenas de servidores maliciosos à rede da carteira Electrum.
Usuários de carteiras legítimas da Electrum iniciam uma transação com Bitcoin. Se a transação atingir um dos servidores mal-intencionados, esses servidores responderão com uma mensagem de erro que insta os usuários a fazer o download de uma atualização do aplicativo da carteira de um site mal-intencionado (repositório do GitHub).
O usuário clica no link e faz o download da atualização mal-intencionada. Quando o usuário abre a carteira maliciosa da Electrum, o aplicativo solicita ao usuário um código de autenticação de dois fatores (2FA). Esta é uma bandeira vermelha, pois esses códigos 2FA são solicitados apenas antes de enviar fundos, e não na inicialização da carteira.
A carteira maliciosa Electrum usa o código 2FA para roubar os fundos do usuário e transferi-los para os endereços Bitcoin do atacante.
O problema aqui é que os servidores da Electrum têm permissão para acionar pop-ups com texto personalizado dentro das carteiras dos usuários.