По данным компании Finjan Software, пострадало уже не менее 10 тыс. сайтов, в том числе Web-сервер одного из агентств онлайн-рекламы, осуществляющий хостинг 14 млн. баннеров, предназначенных для показов на других сайтах.

Особенностью атаки является использование "мутирующего" кода на JavaScript, который меняется каждый раз после очередного заражения пользовательского ПК, из-за чего взломанные сайты невозможно обнаружить через поисковые системы. Кроме того, хакеры регистрируют IP-адреса репутационных сервисов, которые обходят Web, определяя риск посещения сайтов, и на запросы от таких сервисов выдают легитимные страницы. Взломанные сайты путем перебора различных уязвимостей пытаются поместить троянскую программу на компьютер посетителя, состав набора используемых уязвимостей тоже регулярно меняется.