غالبًا ما تحتوي الصفحات المشتبه بها على نماذج أسئلة وأجوبة تذكر بيتكوين أو غيرها من الموضوعات ذات الصلة بـ "blockchain". قد يفترض المستخدمون الأذكياء أن هذه المواقع تحاول بيع البيتكوين أو غيرها من العملات المشفرة ، ربما لمخطط ضخ وتفريغ. قد يكون هذا هو الحال ، لكن "Sucuri" يرى أن كل النص هو مجرد محتوى حشو يغطي تدفق الإيرادات الفعلي للاحتيال ، ومشاهدات إعلانات جوجل.
لاحظ سوكوري البرنامج الضار لأول مرة في سبتمبر ، لكن الحملة تكثفت بعد التقرير الأول لمجموعة الأمن في نوفمبر. في عام 2023 وحده ، قام الباحثون بتتبع أكثر من 2600 موقع مصاب بإعادة توجيه الزائرين إلى أكثر من 70 نطاقًا احتياليًا جديدًا.
قام المحتالون في البداية بإخفاء عناوين IP الحقيقية الخاصة بهم باستخدام CloudFlare ، لكن الخدمة قامت بتشغيلها بعد قصة نوفمبر. وقد هاجروا منذ ذلك الحين إلى DDoS-Guard ، وهي خدمة روسية مماثلة ولكنها مثيرة للجدل.
تستهدف الحملة بشكل أساسي مواقع ووردبرس، مما يشير إلى وجود ثغرات أمنية مخفيّة في ووردبرس. علاوة على ذلك ، يمكن أن تختبئ الشفرة الخبيثة من خلال التعتيم. يمكن أيضًا إلغاء تنشيطه مؤقتًا عند قيام المسؤولين بتسجيل الدخول. يجب على مشغلي الموقع تأمين لوحات الإدارة الخاصة بهم من خلال المصادقة الثنائية والتأكد من تحديث برامج مواقعهم.
هذه الحملة ليست محرك البرامج الضارة الوحيد الذي تم ربطه بإعلانات جوجل مؤخرًا. كما يقوم المهاجمون الخبثاء أيضًا بانتحال شخصية تطبيقات البرامج الشائعة لنشر البرامج الضارة للمستخدمين ، مما يؤدي إلى التلاعب بترتيب إعلانات جوجل للظهور في أعلى نتائج البحث. في الوقت الحالي ، يجب على أولئك الذين يتطلعون إلى تنزيل تطبيقات مثل Discord أو Gimp تجنب البحث عنها من خلال جوجل.