Aby zobaczyć komunikat trzeba:
•posiadać Chrome i Windows,
•wyszukać zainfekowaną witrynę w Google (złośliwy kod sprawdza zmienną Referer),
•surfować z kraju objętego akurat kampanią.
Przestępcy po przejęciu kontroli nad witryną podatną na infekcje (np. niezaktualizowane WordPressy, Joomle itp.) wstrzykują do niej swój złośliwy kod, który psuje tekst dodając do niego ciąg „�” powodujący wyświetlanie pytajników w miejscu zwykłych czcionek i udający uszkodzoną witrynę oraz wyświetlający komunikat.
http://kurier365.pl/kultura/25477-nietypowy-atak-na-u%C5%BCytkownik%C3%B3w-google-chrome.html#sigProIdf9358721e6
Gdy ofiara kliknie klawisz „Update”, otrzyma instrukcję jak uruchomić złośliwy kod.
W badanych scenariuszach pobierany kod zajmował się klikaniem w reklamy w sposób niezauważalny dla zwykłego użytkownika. Według badaczy cała operacja jest fragmentem systemu ElTest, infekującego komputery od kilku lat, prawdopodobnie działającego pod kontrolą rosyjskojęzycznych przestępców. Mniej świadomi, którzy wiedzą, że Chrome jest bezpieczny, nie wiedzą, że czcionek nie trzeba doinstalowywać.
Jedną z najpopularniejszych metod ataku na użytkowników jest przejęcie kontroli nad przeglądarką z użyciem błędów w samej przeglądarce lub jej wtyczkach. By zoptymalizować proces hakowania przeglądarek jednym z pierwszych kroków przestępców, którym uda się zainfekować jakąś stronę, jest selekcja interesującego ich ruchu klientów – np. wg kraju pochodzenia, systemu operacyjnego i przeglądarki. Użytkownicy Firefoksa trafią na odpowiednie exploity, użytkownicy starego Internet Explorera na inny zestaw ataków, inny dostaną posiadacze Javy. Przeglądarka Google Chrome należy do najtrudniejszych przeciwników dla przestępców.