Как и большинство осуществляемых в наши дни фишинговых атак, данная кампания также начиналась с рассылки фишинговых писем. Жертва получала по электронной почте ссылки, ведущие якобы на легитимные сайты банка и компании Apple. Как пояснил Крузе, используемый для атак набор инструментов без труда можно приобрести на черном рынке в интернете.
В ходе атаки злоумышленник перенаправлял трафик через скомпрометированный web-сервер в Нидерландах. Хакер получал инструменты из репозитория на сервере, похищал учетные данные и данные банковских карт, использовал другой прокси в Дании и обналичивал похищенные средства.
Исследователи получили доступ к репозиторию и обнаружили там файл CACAT с ссылкой на инструменты киберпреступника: свыше 1 тыс. взломанных серверов, список атакуемых целей и шаблоны спам-писем. Когда дело доходило до обналичивания средств, злоумышленник перенаправлял трафик через ряд домашних ADSL- маршрутизаторов производства тайваньской компании ZyXEL. В маршрутизаторах используются заводские учетные данные, поэтому их легко взломать.
Экспертам удалось отследить злоумышленника. Им оказался некто под псевдонимом L33bo, владеющий одноименной учетной записью на сайте eBay. Как выяснили исследователи, подозреваемый является гражданином Румынии, живет в Великобритании и водит машину MG ZT. По словам Крузе, полиция уже в течение нескольких месяцев перехватывает трафик подконтрольных преступнику серверов. Тем не менее, из-за того, что расследование велось без надлежащего разрешения, предъявить обвинения пока нельзя.