E-maile wysyłane w ramach akcji spamowej zawierały różne odsyłacze, jednak wszystkie kierowały (czasem po serii operacji wykonywanych niezauważalnie dla użytkownika) na stronę zawierającą zestaw szkodliwych programów wykorzystujących rozmaite luki w zabezpieczeniach systemów operacyjnych i aplikacji takich jak Java, Flash Player czy Adobe Reader (tzw. zestaw BlackHole Exploit Kit). Efektem kliknięcia była infekcja komputera szkodnikiem, który następnie pobierał kolejne zagrożenia, z trojanem ZeuS na czele.
Cyberprzestępcy postarali się, by ich praca przynosiła dochody tak długo, jak to możliwe, i co 12 godzin zmieniali wszystkie domeny wykorzystywane do atakowania użytkowników. Wersje szkodliwych programów oraz odsyłacze także były regularnie modyfikowane, aby wykrywanie zagrożeń było maksymalnie utrudnione.
Geografia ataku
“Chociaż nie jest to pierwszy przypadek wykorzystywania wizerunku linii lotniczych przez cyberprzestępców, nie mieliśmy jeszcze do czynienia z tak złożonym atakiem tego typu. Jeżeli odbiorcy omawianej wiadomości spamowej rzeczywiście zarezerwowali bilety linii Airways, prawdopodobieństwo kliknięcia przez nich zawartego w wiadomości odsyłacza znacznie wzrastało” — tłumaczy Dmitrij Tarakanow, ekspert z Kaspersky Lab.
W czasie ataku wysyłane były również inne wiadomości spamowe, które zawierały odsyłacze prowadzące do tych samych domen i szkodliwych programów. Z analizy przeprowadzonej przez ekspertów z Kaspersky Lab wynika, że zagrożenia, które w ten czy inny sposób były związane z atakiem, pojawiały się najczęściej w następujących krajach: Rosja, Stany Zjednoczone, Włochy, Niemcy, Indie, Francja, Ukraina, Polska, Brazylia, Malezja, Hiszpania oraz Chiny. Przeprowadzenie tych badań było możliwe dzięki systemowi Kaspersky Security Network, który wykorzystuje chmurę do błyskawicznego dostarczania ochrony przed najnowszymi zagrożeniami.