بر اساس گفته شرکت امنیتیِ Sucuri مهاجمان بین ۱۰ الی ۱۲ خط از کدهای آلوده را به پروندهی header.php از زمینه وردپرس تزریق کردهاند. این کد وضعیت بازدیدکننده را بررسی میکند و اگر این بازدیدکننده یک «خزنده» مربوط به موتورهای جستوجو نباشد، آنها او را به وبگاههای مختلف آلوده از طریق زنجیرهای از تغییر مسیرها هدایت میکنند که شامل دامنههای متعددی میشوند.
جای تعجب است که همهی کاربران به وبگاههای آلوده تغییر مسیر پیدا نمیکنند. کدی که برای تزریق در وبگاه وردپرس طراحیشده است، برای تغییرمسیرهای تصادفی ساختهشده که در آن ۱۵ درصد احتمال دارد که کاربر تغییر مسیر داده شود. همچنین وبگاههای آلوده، یک کوکی نیز قرار میدهند تا بتوانند بازدیدکنندگان را برای یک سال ردیابی کنند.
اگر یک وبگاهها آلوده، از طریق مرورگر اینترنت اِکسپلورر مورد دسترسی قرار گیرد، زنجیرهی تغییرمسیرها متفاوت خواهند بود و به کاربر یک بارگیرِ بدافزار بهعنوان بهروزرسانی جاوا و یا فلش ارائه خواهد شد. جرمی سگورا که یک تحلیلگر ارشد بدافزار در شرکت Malewarebyte است، گزارش میدهد که در این حمله، وبگاههای جعلی پشتیبانی فناوری به بازدیدکنندگان ارائه میشود.
جستجو برای رشتهی آلوده در پروند، در گوگل، ۶۰۰۰ نتیجه را در برداشت؛ البته با توجه به اینکه نمایش متن PHP در بسیاری از کارگزارها غیرفعال شده است تعداد واقعی وبگاههای آلوده بهاحتمالزیاد بسیار زیادتر هستند.
همچنین جستجو برای این رشته در گوگل نشان میدهد که کدهای آلوده در داخل پرونده footer.php نیز در وبگاههای وردپرس تزریقشدهاند. به نظر میرسد که مهاجمان در ماه آوریل تصمیم به تغییر روش حمله خود به سمت پروندهی header.php گرفتهاند، اما محققان دریافتهاند که تزریقهای footer.php پیچیدگی بیشتری دارند، چراکه کد آلوده نهتنها برای تغییر مسیر کاربران استفاده میشود، بلکه صفحات بالاپری (pop-up) را نیز ارائه میکند و نشانیهایی که به آنها تغییر مسیر صورت میگیرد میتوانند بهراحتی توسط مهاجمان با ارسال درخواست به وبگاه آلوده بهروزرسانی شوند.
دنیس سینگوبکو، محقق ارشد بدافزار در Sucuri میگوید: «در بسیاری از موارد، وبگاههای آلوده آسیبپذیریهای متعددی دارند. خود آلودگی بخشی از سایر آلودگیهای این محیط است (و یک رویداد منزوی) نیست. در برخی از موارد این آلودگی، تنها آلودگی موجود است و در درون پروندهی header.php قرار دارد. اینیک داستان مرسوم آلودگی است که در آن مهاجمان به رابط کاربری مدیریت وردپرس دسترسی پیدا میکنند و میتوانند، زمینه موجود را ویرایش کرده و ازآنجا تغییر مسیر دهند».
شایانذکر است که همین کد آلوده در پروندهی administrator/includes/help.php از وبگاههای جوملا نیز تزریقشده است، اما در آنجا تعداد انگشتشماری از وبگاهها آلودهشدهاند.
بخش امنیت شرکت آیبیام به دارندگان وبگاههای وردپرس در مورد افزایش حملاتی که شامل وبشل c۹۹ میشوند، هشدار داده است. این شرکت گزارش داده است که در ماههای فوریه و مارس، ۱۰۰۰ حمله را مشاهده کرده است.
وردپرس از محبوبترین سامانههای مدیریت محتوا است که توسط بسیاری افراد استفاده میشود، البته لزوماً همهی کاربران وردپرس، حرفهای نیستند و همین مسئله باعث میشود اغلب این وبگاهها بهروزرسانی نشوند و به همین دلیل خطرات بسیاری این وبگاهها را تهدید میکند.