Pak přidávají do náhodných zásuvných modulů škodlivý kód, jehož úkolem je sbírat a odesílat zadané údaje o platebních kartách. Bezpečnostní analytici například odhalili doménu hostovanou na serveru Alibaba v Německu, jež neměla žádnou vazbu na zkoumané kompromitované webové stránky. Na ní si útočníci nechali posílat platební informace, jež mohli následně zneužít.