Z danych dostarczonych przez firmy Trend Micro oraz Websense wynika, że atak rozpoczął się jeszcze w ubiegłym tygodniu - do poniedziałku rano przestępcy zdołali skutecznie zaatakować ponad 10 tys. witryn internetowych. "Prawie wszystkie te strony są włoskie - nawet już zaczęliśmy w naszej wewnętrznej korespondencji nazywać tę całą sprawę Włoską robotą 3" - komentuje David Perry z Trend Micro (to nawiązanie do filmu "The Italian Job" z Michaelem Caine'em oraz jego poźniejszego remake'u).

Większość z zaatakowanych stron to zwykłe serwisy, odwiedzane przez typowych internautów. "To nie są strony z pornografią, czy hazardem - to witryny hoteli, firm czy informacji turystycznej" - tłumaczy David Parry. Warto wspomnieć, że wśród nich znalazły się również serwisy instytucji administracji publicznej. Cechą wspólną większości zaatakowanych witryn jest fakt, iż są one hostowane przez tę samę firmę - jednego z największych włoskich dostawców usług hostingowych.

Przestępcy osadzają na witrynach kod, który sprawia, że przeglądarka internauty odwiedzającego stronę zostaje przekierowana na inną witrynę, z której automatycznie jest pobierany i uruchamiany koń trojański. Problem jest o tyle poważny, iż wykorzystane przez cyberprzestępców oprogramowanie może skutecznie zaatakować komputer pracujący pod kontrolą Windows poprzez każdą z trzech najpopularniejszych w Europie przeglądarek - Internet Explorera, Firefoksa oraz Operę. Jedynym pocieszeniem jest fakt, że exploit ów wykorzystuje znane już od dawna i załatane przez producentów luki w przeglądarkach - użytkownicy regularnie uaktualniający swoje aplikacje są więc bezpieczni.

W komputerach internautów instalowany jest m.in. keylogger (czyli aplikacja przechwytująca znaki wprowadzane za pomocą klawiatury) oraz koń trojański, umożliwiający uzyskanie zdalnego dostępu do systemu. Trojan wyposażony jest w moduł aktualizacji, niewykluczone więc, że z czasem liczba jego funkcji może się zwiększać.

Sprawę bada już włoski wymiar sprawiedliwości oraz amerykańskie Federalne Biuro Śledcze (które zajęło się sprawą, ponieważ wśród zainfekowanych witryn znalazły się również amerykańskie strony).

Eksperci zwracają uwagę, że choć mechanizm ataku nie jest nowy (przestępcy już wcześniej wykorzystywali zwykłe strony do dystrybuowania złośliwego oprogramowania), to jego skala jest zupełnym novum. "Taki atak wymagał niezwykłego nakładu pracy, doskonałej koordynacji oraz wysokiej determinacji "napastników". Mamy kolejny dowód na to, że aby czuć się bezpiecznie w Internecie, należy regularnie uaktualniać oprogramowanie - ta sprawa jest doskonałym przykładem tego, jak przestępcy wykorzystują dziurawe systemy" - komentuje Chris Boyd, specjalista ds. bezpieczeństwa z firmy FaceTime Communications.