Для маскировки вредоносных ссылок злоумышленники использовали сервис Google URL Shortener.
Злоумышленники использовали методы социальной инженерии, предлагая перейти по ссылкам и увидеть заманчивые фотографии. За первые 48 часов с начала кампании по вредоносным ссылкам перешло больше полумиллиона пользователей. На данный момент больше всего пострадали пользователи в Германии, России, Бразилии, Колумбии, Мексике и США.
Подозрительные ссылки были замаскированы с помощью вполне легального сервиса Google URL Shortener, призванного укорачивать длинные ссылки, и ряда аналогичных ресурсов (bit.ly, ow.ly и других). Только по адресам, начинающимся с http://goo.gl/..., перешло более 490 тыс. пользователей.
Укороченные ссылки в спам-сообщениях перенаправляли пользователей на страницу загрузки вредоносной программы, которая детектируется решениями ESET как Win32/PowerLoader.A. Эта программа, в свою очередь, загружает и запускает дроппер (так называемый «носитель») известного червя Dorkbot.