Лаборатория Касперского опубликовала разбор вредоносного ПО, отличающийся применением сразу нескольких интересных подходов. Во-первых, вредоносное ПО носило многоплатформенный характер и поражало системы на базе Windows и Mac OS X, эксплуатируя уязвимости в необновлённом плагине Java (теоретически, данное ПО может быть адаптировано и для атаки на Linux).
Во-вторых, вредоносное ПО не сохраняло никаких данных на диск и не порождало новых процессов, а работало исключительно в памяти штатного процесса javaw, что существенно усложнило выявление антивирусами, но позволило сохранить работоспособность только до первого перезапуска. Проблема с небольшим временем жизни зловредного ПО была решена через обеспечение высокой вероятности повторного поражения, для чего эксплуатирующий уязвимость код был интегрирован в рекламные блоки одного из клиентов сети AdFox, материалы которой размещаются на ряде крупнейших новостных сайтов, таких как РИА Новости и Газета.Ру. Подразумевалось, что пользователь регулярно посещает один и тот же новостной сайт, поэтому заражение будет происходить вновь и вновь.
После активации, вредоносное ПО осуществляло отправку на сервер злоумышленников истории посещений сайтов и запросы на получение управляющих команд. В случае, когда среди сайтов встречались службы online-банкинга, на машину жертвы дополнительно устанавливалось троянское ПО Lurk, пытающееся перехватить данные платёжных идентификаторов пользователя для последующей кражи средств с банковских счетов.
Упомянутый выше тип вредоносного ПО указывает на новую тенденцию, связанную с поражением только запущенного в данный момент браузера или связанных с ним плагинов, без модификации внешних компонентов (файлов на диске). В современном мире браузеры уже настолько плотно вошли в обиход, что не закрываются неделями и всё больше используются как платформа для основной работы. Внедрение вредоносного кода путем модификации непосредственно уже выполняемого процесса браузера/плагина может существенно усложнить выявление подобного рода атак.