Wiadomości te były napisane w języku niemieckim i w większości zostały wysłane z niemieckich adresów IP. Poniżej znajduje się mapa pokazująca rozkład adresów:

Nazwy komputerów wymieniane w nagłówkach e-mail często miały formę Andreas-PC lub Kerstin-Laptop (imiona zostały zmienione dla ochrony ofiar) sugerując, że zostały wysłane z niemieckich komputerów domowych.
Poniżej znajduje się przykładowy e-mail:

Przykładowy e-mail
Nazwy załączników PDF miały formę: „Mahnung recipents name.pdf” (Mahnung oznacza „przypomnienie” lub „powiadomienie o opóźnieniu w płatności”), a wykorzystywanym exploitem był CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). PDF został zablokowany przez Kaspersky ZETA Shield i jest wykrywany jako Exploit.JS.CVE-2010-0188.e. Exploit nie jest łatwy do wykrycia, ponieważ ukrywa się pod dwiema warstwami JavaScript.

Pierwsza warstwa Javascript

Druga warstwa Javascript

Odszyfrowany Shellcode
Druga warstwa wygląda bardzo podobnie do kodu JavaScript, jaki widzieliśmy w kilku próbkach zestawu exploitów BlackHole z zeszłego roku. Jeżeli exploitowi powiedzie się, pobierze plik wykonywalny z seodirect-proxy.com/adobe-update.exe.
Pobrane szkodliwe oprogramowanie (MD5: 3772e3c2945e472247241ac27fbf5a16) jest wykrywane przez Kaspersky Lab jako Trojan.Win32.Yakes.cngh. Zawiera różne włoskie ciągi znaków (“lastoriasiamo”, “famiglia”, “badalamenti”, "impastato"), które mogą mieć związek z Mafią. Zawiera również następujące informacje o wersji:

BTP to prawdopodobnie obligacje włoskiego rządu, Bund to obligacje niemieckiego rządu, natomiast „Spread BTP/Bund” to sposób porównania różnicy między dochodami.
Gdy szkodliwe oprogramowanie działa, wyświetla następujący komunikat o błędzie:

Następnie instaluje się w folderze tymczasowym z losową nazwą (np. vlsnekunrn.pre) i próbuje skontaktować się z zeouk-gt.com.
Przeszłość
Przeglądając nasze wcześniejsze informacje zwrotne zauważyliśmy podobne schematy w dniach 4 i 21 kilku miesięcy.
Luty 2013
21 lutego zablokowaliśmy ogromną liczbę e-maili zawierających bardzo podobny załącznik PDF. Tym razem w nazwach załączników znajdował się wyraz „Rechnung” (co oznacza „faktura”) oraz data (np. Rechnung_201302.pdf oraz 2013_02rechnung.pdf). Nadawcy pochodzili z bardzo różnych państw, w tym z Afryki Południowej, Stanów Zjednoczonych, Australii i Japonii. Tym razem nazwy komputerów wymieniane w nagłówkach e-maili wyglądały na wygenerowane losowo (np. ydopsgf i bxahwdkw) i - co ciekawe – nagłówki zawierały również odwołanie do domeny zeus3.hostwaycloud.com.
Odszyfrowany JavaScript dla tego exploita był prawie identyczny z próbką powyżej, jednak szkodliwe oprogramowanie było pobierane z kilku adresów URL:
allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe
corcagnani.de/host.exe
kkc-hannover.de/modules/mod_search/helper.exe
capital-success.de/pg/helper.exe
Styczeń 2013
4 stycznia próbka miała nazwę Rechnung201301.pdf, a szkodnik był pobierany z następujących adresów URL:
kohnle-gros.de/css/styleneu.exe
fairdealshop.co.uk/modules/mod_newsflash/helper.exe
emct.org.uk/downloads/server-stats.exe
Listopad 2012
21 listopada próbka miała nazwę RECHNUNG000201211.pdf i pobierała szkodnika z:
rocketmou.se/stuff/corduroyshop/corduroyshop.exe
coachplay.co.il/mapa/images/mapa.exe
Przyszłość
Wygląda na to, że jest to bardzo dobrze przemyślana kampania i nie zanosi się na jej koniec. Dlatego, jeżeli otrzymasz fakturę 21 marca lub 4 kwietnia, zachowaj szczególną ostrożność. Z drugiej strony, autorzy mogą zmienić datę faktury, dlatego lepiej mieć się na baczności przez cały czas.