Spammers gebruiken een slimme manier om Windowsgebruikers grote hoeveelheden pornospam te laten versturen, zonder dat ze zelf te traceren zijn. De operatie begint met een besmette Windowsgebruiker, die vanaf een spamserver allerlei spamgegevens downloadt. Het gaat dan om zaken als naam van de afzender, adressen waar de spam naar toe moet en een template voor de e-mail.

Deze gegevens worden door de spamserver teruggestuurd, waarna de besmette Windowscomputer de data doorstuurt naar een gehackte website. Het gaat dan om gehackte WordPress, Joomla en Drupal websites. Deze websites versturen vervolgens de spamberichten die voornamelijk pornografisch van aard zijn.

De link in de spamberichten wijst naar een tweede gehackte website. In minder dan twee maanden tijd werden meer dan 170.000 gehackte domeinen en IP-adressen ontdekt die door spammers werden gebruikt.

Functiescheiding
"Door deze opzet verbergt de echt spamserver zich achter drie lagen van nietsvermoedende slachtoffers: twee gehackte websites en een geïnfecteerde machine", zegt Jessa De La Torre van anti-virusbedrijf Trend Micro. De besmette machine fungeert als tussenpersoon voor de spamserver en de gehackte website.

Aangezien er geen interactie tussen de spam en server is, lijkt het alsof de spam van de besmette machine afkomstig is. De spamberichten bevatten daarnaast niet de malware waardoor de Windowsgebruikers in de eerste plaats besmet raken.

Volgens De La Torre moet deze 'functiescheiding' ervoor zorgen dat de verschillende activiteiten niet naar de spammers zijn te herleiden.