Как сообщают в Symantec, механизм взлома пока не установлен, но предположительно, это какая-то распространенная уязвимость на уровне хостинга. На главную страницу каждого взломанного сайта хакеры поместили код, переадресующий посетителей на сервер с размещенным на нем "профессиональным" хакерским инструментарием Mpack, который состоит из набора эксплойтов для известных уязвимостей различных браузеров и операционных систем. На зараженные при помощи Mpack компьютеры затем устанавливаются различные вредоносные программы, главным образом, средства протоколирования нажатий на клавиши, которые передают злоумышленникам верительные данные для ценных учетных записей, например для сайтов Internet-банкинга.