Onderzoekers hebben op gehackte websites code aangetroffen die lijkt op Google Analytics, maar in werkelijkheid ongepatchte bezoekers met malware infecteert. "Het is erg overtuigend, maar vergeet niet dat de analytics code meestal onderaan de pagina wordt geplaatst, in plaats van bovenaan, dus dit is een goede aanwijzing voor webmasters", zegt Tim Xia van beveiligingsbedrijf Websense.

Een andere aanwijzing is dat de aanvallers "UA-XXXXX-X" als placeholder gebruiken, terwijl mensen dit normaal niet doen. Naast google--analytics.com, met twee streepjes, gebruiken de aanvallers ook google-analytics.su op gehackte websites. Dit is het Top Level Domain van de voormalige Sovjet-Unie, die steeds meer in trek bij cybercriminelen komt.

Zodra de valse Google Analytics code wordt geladen, maakt die verbinding met het IP-adres 37.59.74.145, waarop een versie van de Blackhole Exploit-kit draait. Deze toolkit misbruikt lekken in Java, Adobe Flash Player en Adobe Reader om internetgebruikers die hun software niet hebben gepatcht met malware te infecteren.