Er is op dit moment een grootschalige aanval gaande waarbij al meer dan 10.000 websites met kwaadaardige code geïnfecteerd zijn. De code maakt misbruik van ongepatchte browsers en installeert allerlei malware, waaronder keyloggers. Volgens virusbestrijder Trend Micro is het de grootste aanval van één enkele Trojan downloader. Gehackte websites worden voorzien van een Iframe tag die de kwaadaardige code "aanbiedt".

De aanvallers gebruiken de MPACK web exploit toolkit, die al in december door Panda Labs werd ontdekt. De software wordt op Russische forums voor zo'n 700 dollar verkocht, inclusief een jaar ondersteuning, en de garantie dat virusscanners de toolkit op het moment van de aankoop niet kunnen detecteren. Extra exploit modules zijn voor een bedrag tussen de 50 en 150 dollar te koop.

Naast browser lekken in Firefox, Opera 7 en Internet Explorer, gebruikt de toolkit ook kwetsbaarheden in QuickTime en Winzip. Naast het stelen van vertrouwelijk informatie, zoals logingegevens voor online bankieren, worden geïnfecteerde machines ook overgenomen. In eerste instantie waren Engelstalige Italiaanse websites het doelwit, maar Trend Micro laat weten dat inmiddels ook Amerikaanse en andere websites getroffen zijn.

Het verspreidingsmechanisme is vrij complex, en gebruikt het feit dat webmasters niet weten dat ze gehackt zijn, en bezoekers niet doorhebben dat het bezoeken van een legitieme website ook gevaarlijk kan zijn. De aanvallers hebben het vooral voorzien op toeristische, hotel, autoverhuur, muziek, lotto en soortgelijke sites. Bezoekt een kwetsbare gebruiker zo'n website, dan wordt hij doorgestuurd naar een IP-adres met het kwaadaardige JavaScript JS_DLOADER.NTJ. Dit JavaScript downloadt TROJ_SMALL.HCK, die een buffer overflow in de browser veroorzaakt. De malware downloadt verder TROJ_AGENT.UHL en TROJ_PAKES.NC, waarmee een remote gebruiker de geïnfecteerde machine als proxy kan gebruiken en toetsaanslagen kan monitoren.