Jak mówi Roger Thompson z Exploit Prevention Labs, sposób działania przestępców był dość złożony. Wykupili oni sponsorowane odnośnik w wyszukiwarce Google - po to, by adresy ich stron były wyświetlane internautom szukającym określonych informacji (m.in. o kupnie samochodu oraz inwestycjach). Co więcej, odnośniki te wydawały się prowadzić do znanych, powszechnie uznawanych za bezpieczne serwisów (m.in. Cars.com czy Better Business Bureau). Gdy jednak internauta kliknął na taki adres, był natychmiast przekierowywany na stronę Smarttrack.org.

Na owej stronie osadzony był złośliwy program, który poprzez lukę w module Microsoft Data Access Components (załataną przez koncern z Redmond w styczniu 2007 r.) instalował w systemie Windows konia trojańskiego, umożliwiającego nieautoryzowanym użytkownikom uzyskanie pełnego dostępu do komputera. Co więcej - cała ta operacja trwała zaledwie kilka sekund i po jej zakończeniu użytkownik był przekierowywany na właściwą stronę - dzięki temu zabiegowi wielu internautów nawet nie zauważyło, iż odwiedzili niebezpieczną witrynę.

Zastosowany przez cyberprzestępców koń trojański był przystosowany do wykradania informacji niezbędnych do zalogowania się do e-banku (trojan "obsługiwał" nad 100 serwisów bankowych z całego świata). Z analiz Exploit Prevention Labs wynika, że przestępcza operacja była drobiazgowo zaplanowana i trwała zaledwie kilka dni. Domena Smarttrack.org została zarejestrowana 2 kwietnia, a w 8 dni później, gdy eksperci z Exploit Prevention Labs rozpoczęli dochodzenie w tej sprawie, była ona już nieaktywna.

Roger Thompson mówi, iż przestępcy wykorzystali pewną słabość systemu sponsorowanych odnośników w Google - chodzi o to, że użytkownikowi nie jest prezentowany oryginalny adres "sponsorowanej" strony (można go zobaczyć dopiero, gdy przesunie się kursor myszy nad adres - wtedy wyświetlony zostanie pełny URL). Dzięki temu na stronie może widnieć adres, którego klikniecie spowoduje otwarcie zupełnie innej strony.

Przedstawiciele Google na razie nie skomentowali tych informacji - firma usunęła jednak ze sponsorowanych linków odnośniki prowadzące do witryny, z której korzystali przestępcy.