Cyberprzestępcy zarazili około dwa tysiące legalnie funkcjonujących stron internetowych złośliwym oprogramowaniem atakującym tych internautów, którzy odwiedzą te witryny.

W odróżnieniu od innych zakrojonych na szeroką skalę ataków, w tym przypadku cyberprzestępcy sami umieścili złośliwy kod na stronie. Co ciekawe, katalog i nazwa pliku złośliwego „ładunku” są w większości przypadków unikatowe i identyczne z plikiem już istniejącym na stronie.

Dzięki temu zabiegowi wykrycie zagrożenia przez webmasterów i programy zwalczające malware staje się niezwykle trudne.

We wcześniejszych przypadkach, takich jak np. sprawa Gumblara, na legalnie funkcjonujących stronach umieszczano odnośniki, które „po cichu” przekierowywały ruch internetowy na serwery przechowujące złośliwe oprogramowanie.

Tym razem nie wiadomo w jaki sposób doszło do ataku. Podejrzewa się, że doszło do kradzieży haseł FTP z komputerów firm administrujących serwisami.

Osoby, które nieświadomie odwiedzą zainfekowane strony, nie zauważą niczego nadzwyczajnego. W tym czasie skrypt PHP sprawdzi wersje Adobe Readera i Adobe Flasha i – jeśli nie są to wersje zaktualizowane – będzie starać się wykorzystać istniejące w nich luki. Jeśli aplikacje Adobe są aktualne, malware sprawdzi, czy system Windows jest w pełni zaktualizowany.

Na zaatakowanych maszynach instalowany jest backdoor pozwalający na przejęcie pełniej kontroli nad zaatakowanym komputerem.