Cyberprzestępcy do ataku wykorzystują metodę przejmowania adresów DNS i sytuację związaną z obawami wywołanymi przez pandemię koronawirusa - twierdzi serwis Ars Technica, powołując się na doniesienia ekspertów pracujących dla firmy Bitdefender. Według nich problem dotyczy przede wszystkim routerów produkowanych przez firmę Linksys, jednakże inny serwis o tematyce cyberbezpieczeństwa - Bleeping Computer - donosi, że hakerzy za cel obierają również routery marki D-Link.
Specjaliści są zgodni co do tego, że obecnie nie jest jasne, w jaki sposób przebiega atak. Dane zebrane przez spółkę Bitdefender wskazują, że cyberprzestępcy najwyraźniej odgadują hasła używane do zabezpieczania zdalnego sterowania urządzeniami w przypadku tych routerów, dla których taka funkcja jest aktywna. W ocenie firmy do ataku mogą być również wykorzystywane hasła użytkowników logujących się do kont chmurowych Linksys.
Domeny, które hakerzy wykorzystują do przekierowywania na złośliwe strony internetowe instalujące złośliwe oprogramowanie, często związane są z popularnymi usługami cyfrowymi, takimi jak np. streaming Disneya. Wykorzystywane są także aliasy aws.amazon.com, goo.gl, bit.ky, washington.edu oraz inne, skojarzone m.in. z jednym z popularniejszych serwisów oferujących filmy dla dorosłych czy forum internetowym Reddit.
Adresy IP, pod którymi znajdują się złośliwe witryny, to 109.234.35.230 i 94.103.82.249. Spreparowane przez hakerów witryny internetowe obiecują użytkownikom "porady na temat zapobiegania zarażeniu chorobą COVID-19". Według ekspertów najwięcej ofiar hakerów zlokalizowanych jest w USA, Niemczech i Francji.