آی تی من- کاربران آیفونی که به هر یک از سایت های آلوده مذکور سر زدند از طریق فرآیندی چندمرحله ای به کمپین تبلیغات آلوده ریدایرکت شدند و در نهایت گرفتار آگهی پا پ آپ مخرب که خودش را در پوشش جایزه فروشگاه مواد غذایی جا زده بود شدند. در طی همین مسیر، بدافزار Krampus-3PC آمد تا از کاربران، اطلاعات کوکی و سشنِ کاربری جمع آوری کند و بدین ترتیب به مهاجمان این توانایی را بدهد تا به اکانت های مختلف آنلاین لاگین شوند.
بدتر اینکه، اگر بازدیدکنندگان روی آگهی فروشگاه مواد غذایی کلیک کنند همچنین به صفحه فیشینگی هدایت خواهند شد که در نهایت آن ها را مجبور به وارد کردن اطلاعات شخصی شان می کند.
DSO در گزارشی اعلام کرده: «این بدافزار قادر بود نه تنها هر اطلاعاتی را که کاربران وارد کرده بودند که همچنین توانست شماره تلفن آن ها را –که بعداً از آن ها برای متون فیشینگ و آی دی های کوکی استفاده شد- بازیابی کند. این آی دیِ کوکی اجازه داد تا Krampus-3PC مرورگر را سرقت کرده و به اکانت کاربر دسترسی پیدا کند».
دسترسی به یک سشنِ کوکی، آگهیِ مخرب را قادر می کند خودش را در قالب آن کاربر زده و در زمانی دیگر لاگین شود. مهاجمان که البته به نقل از مدیا تراست منبع ناشناخته ای دارند، ابتدا آگهی ای را روی یک ارایه دهنده فناوری آگهی به نام Adtechstack گذاشتند تا توزیع شود. سپس از API پلت فرم برای درج کد مخرب استفاده کردند.
مایک بیتنر، مدیر امنیت دیجیتال مدیا تراست چنین می گوید: «از آنجایی که روی این پلت فرم دارند آگهی اجرا می کنند، به ابزارهای پلت فرم دسترسی دارند. این پلت فرم آگهی را از آگهی دهنده مخرب می گیرد و پلت فرم آگهی آن را به ناشر که روحش از این آلودگی باخبر نیست می فروشد».
بیتنر اینطور توضیح می دهد که آن آگهی که به دروغ خودش را متعلق به شرکت فناوری بین المللی جا زده بود و ادعا کرده بود یک برند شناخته شده است در واقع در پس زمینه همان بدافزار Krampus-PC3 بود پنهان در پس یک آگهی آلوده. این بدافزار بدون اینکه کاربران نیاز داشته باشند روی چیزی کلیک کنند (همین بس که این آگهی روی صفحه ای اجرا می شد که کاربر آیفونی از آن در حال بازدید بود) ابتدا بررسی هایی انجام داد تا مطمئن شود کاربر تمام مؤلفه های یک قربانی تمام عیار را دارد؛ تمام مؤلفه هایی که مهاجمان به دنبال آنند (استفاده از آیفون). وقتی همه بررسی ها صورت گرفت، کاربر به پاپ آپ های جعلی هدایت گشته و درست همان موقع بود که جمع آوری اطلاعات شروع می شود.
در این گزارش همچنین ذکر شده بود که، «(در صورت مثبت بودن بررسی ها) Krampus-3PC یو آرال پی لودی را ایجاد و اجرا کرد -boostsea2[.]com – و البته اطلاعات کاربری را برای سرور فرمان و کنترل فرستاد. این یو آرال پی لود مرورگر را سرقت کرد و جایش آدرس صفحه را برای ریدایکرت کردن کاربران به پا پ آپ جایزه جایگزین کرد. اگر این ریدایرکشن شکست می خورد از متود بک آپ استفاده می کرد.
بدین ترتیب URL آلوده در تب دیگر لود می شد. این یو آرال به باز بودن و لود شدنش در تب جدید که ری دایرکشن موفقیت آمیز عمل کرده بود ادامه می داد».
در ادامه گزارش کسپرسکی از این بدافزار هوشمند آمده است، ناشران آنلاین و شرکت های تکنولوژی تبلیغات که با آن ها کار می کنند معمولاً برای جلوگیری از این نوع دستکاری ها از بلاکرهای محبوب بدافزار استفاده می کنند؛ با این حال، Krampus-3PC اسکنرها و بلاکرهای قراردادی را از طریق روش مبهم سازی کد دور زد.
مدیا تراست از آوردن نام ناشران آلوده سر باز زد.
Krampus که در حقیقت برگرفته از اسم شخصیتی در افسانه های اروپایی است؛ کسی که در طول فصل کریسمس به خانه ها سر می زند تا بچه های شیطان را تنبیه کند، بدافزاریست هوشمند. بیتنر می گوید، «با توجه به سطح پیچیدگی آن، احتمال می دهیم توسط یک تیم ساخته شده باشد و نه یک فرد. استفاده از API پلت فرم تکنولوژی آگهی و برگه سبک نگارش آبشاری که میان آیفون ها رایج است (به عنوان یکی از چند روش شناسایی دستگاه) از جمله تکنیک های بسیار جدیدی به شمار می آیند که حتی پیدا کردنشان برای متخصصین تهدید سخت است چه برسد به بازتولید آن ها». پلت فرم تکنولوژی تبلیغات، آگهی دهنده و خود آگهی را در فهرست سیاه قرار داد.