В настоящее время неясно, кто является организатором атак. Для своих целей организаторы кампании задействуют скрытые служебные папки на сайтах, использующих защищенное HTTPS-соединение. Данные папки позволяют удостоверяющим центрам (УЦ) получить информацию о домене, однако их могут использовать и злоумышленники для хранения вредоносного ПО.
За последние несколько недель исследователи зафиксировали рост числа угроз, распространяемых посредством скрытых папок. Чаще всего этот способ используется для заражения вымогательским ПО Shade.
«Обычно спам-сообщение содержит ссылку на страницу на скомпрометированном сайте, с которой загружается вредоносный ZIP файл. Если после распаковки архива пользователь откроет содержащийся в нем файл JavaScript, на устройство загрузится программа-вымогатель», - поясняют эксперты.