Cisco เปิดเผยรายงาน Cybersecurity Report ประจำปี 2018 โดยข้อมูลทั้งหมดส่วนหนึ่งมาจากฐานข้อมูลของ Cisco เอง อีกส่วนมาจากการตอบแบบสอบถามจาก Chief Information Security Officers (CISO) กว่า 3,600 คนทั่วโลก โดยมีประเด็นน่าสนใจดังนี้

• ทราฟิคเว็บทั่วโลกมีการเข้ารหัส HTTPS กันมากขึ้นเป็น 50% จากที่ปี 2016 ที่อยู่ราว 38%
• มัลแวร์จึงถูกเข้ารหัสมากขึ้นตามไปด้วย โดยกระบวนการเข้ารหัสเกิดขึ้นที่ไบนารีไฟล์กว่า 70%
• Machine Learning และ AI เริ่มถูกนำมาใช้งานเพื่อรับมือภัยคุกคามมากขึ้น อย่างไรก็ตามการใช้งาน ML หรือ AI ยังอยู่ในช่วงแรกเริ่มเท่านั้น ทำให้เกิด False Positive ค่อนข้างมาก และต้องใช้เวลาเทรนด์ไปเรื่อยๆ

Kaspersky รายงานถึงการสำรวจมัลแวร์รอบล่าสุด โดยมุ่งสำรวจว่ามัลแวร์มีความเกี่ยวข้องกับเว็บโป๊มากน้อยเพียงใด จากเดิมที่เราอาจจะมีความเชื่อว่าเว็บเหล่านี้เกี่ยวข้องกับการแพร่มัลแวร์อยู่บ้าง แต่ไม่มีการสำรวจในเชิงปริมาณมากนัก

รานงานระบุว่ามัลแวร์บนโทรศัพท์มือถือนั้น 25.4% ของผู้ที่ติด ติดมัลแวร์ที่เกี่ยวข้องกับเนื้อหาภาพโป๊ รวมมีเหยื่อในปี 2017 จำนวน 1.2 ล้านคน โดยแบ่งเป็นมัลแวร์ 23 ตระกูล ตัวแอปอ้างตัวเองเป็นแอปภาพโป๊แต่ที่จริงแอบรูตเครื่อง, ขโมยข้อมูลธนาคาร

กูเกิลประกาศสถิติว่าในปี 2017 ทั้งปี ถอดแอพที่ทำผิดเงื่อนไขการใช้งานออกจาก Play Store มากถึง 700,000 ตัว เพิ่มขึ้นจากปี 2016 ถึง 70%

ระบบของ Play Store ต่างไปจาก App Store ของแอปเปิล เพราะฝั่งกูเกิลเน้นใช้ระบบอัตโนมัติช่วยตรวจสอบเป็นหลัก โดยกูเกิลบอกว่าอัลกอริทึมที่ใช้ตรวจสอบนั้นแม่นยำขึ้นเรื่อยๆ จนเป็นผลให้ถอดแอพประสงค์ร้ายได้มากขึ้น

กูเกิลยังบอกว่าแอพที่มีเนื้อหาไม่เหมาะสม (abusive contents) จะถูกตรวจสอบได้ก่อนขึ้น Play Store เกือบหมด (ความแม่นยำ 99%) ส่วนแอพสายมัลแวร์ที่พยายามซ่อนตัวไม่ให้จับได้ แม้จะได้ขึ้น Store แต่ก็ถูกตามไปสอยร่วงในเวลาไม่นาน

Sucuri บริษัทด้านความปลอดภัยออกมาแจ้งเตือนว่าพบเว็บไซต์ที่ใช้งาน WordPress กว่า 2,092 เว็บ ถูกฝังด้วยสคริปต์ msdns[.]online, cdns[.]ws, หรือ cdjs[.]online ซึ่งเป็น Keylogger ที่ดักพาสเวิร์ดทั้งของแอดมินและผู้เยี่ยมชม รวมถึงแอบติดตั้ง JavaScript ขุดเหมืองบนเบราว์เซอร์ของผู้เข้าชมเว็บด้วย

Sucuri บอกว่าสคริปต์ดังกล่าวเป็นโค้ดเดียวกับสคริปต์ cloudflare[.]solutions ที่เคยระบาดช่วงปลายปีที่แล้วบนเว็บไซต์ที่ใช้ WordPress กว่า 5,500 เว็บไซต์ ขณะที่สคริปต์เหล่านี้ถูกฝังเอาไว้ในดาต้าเบสของ WordPress หรือในไฟล์ธีม function.php โดยทาง Sucuri ไม่ได้ระบุว่าเว็บเหล่านี้ถูกเจาะได้ยังไง แต่ก็คาดว่าอาจมาจากช่องโหว่ในซอฟต์แวร์รุ่นเก่าๆ

นักวิจัยจาก ICEBRG บริษัทด้านความปลอดภัยได้เปิดเผยรายงานการค้นพบส่วนเสริม Chrome 4 ตัวได้แก่ HTTP Request Header, Nyoogle, Stickies และ Lite Bookmarks ที่มียอดดาวน์โหลดรวมกันกว่า 5 แสนครั้ง แฝงมาด้วยมัลแวร์ ขณะที่ทาง Google ลบส่วนเสริมทั้ง 4 ตัวแล้วหลังได้รับการแจ้งไปก่อนหน้านี้

ICEBRG ระบุว่าพบทราฟฟิคน่าสงสัยจากเครื่องเวิร์คสเตชันลูกค้า เลยตรวจสอบก่อนจะพบว่ามาจากส่วนเสริมที่ชื่อ HTTP Request Header ซึ่งจะแอบเปิดหน้าเว็บโฆษณาขึ้นมา ขณะที่ส่วนเสริมอีก 3 ตัวก็มีพฤติกรรมลักษณะเดียวกัน

กระแส cryptocurrency ระบาดไปทุกวงการ ไม่เว้นแม้แต่วงการผู้สร้างมัลแวร์ ที่กำลังเริ่มเปลี่ยนจากการเรียกค่าไถ่ข้อมูลของผู้ใช้ (ransomware) มาเป็นการยึดเครื่องมาเพื่อขุดเหมืองแทน

หน่วยวิจัยความปลอดภัย FortiGuard Labs ในเครือบริษัท Fortinet ค้นพบว่ากลุ่มแฮ็กเกอร์ผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ VenusLocker ปรับเปลี่ยนแนวทางใหม่ เปลี่ยนมาเป็นนำมัลแวร์ไปติดพีซี เพื่อใช้ขุดเหรียญ Monero

ช่วงเวลาสิ้นปี บริษัทด้านความปลอดภัยไซเบอร์ต่างออกมาคาดการณ์ภัยคุกคามที่จะเปิดขึ้นในปีถัดไป บริษัท Symantec คาดการณ์ว่าอุปกรณ์ IoT และบล็อกเชนจะถูกเพ่งเล็งจากอาชญากรไซเบอร์ และยังระบุว่าแฮกเกอร์จะใช้ AI และ Machine Learning เป็นเครื่องมือโจมตี และมีโอกาสที่เราจะได้เห็น AI ฝั่งแฮกเกอร์ กับ AI ฝั่งความปลอดภัยต่อสู้กัน

US-CERT ร่วมกับ Department of Homeland Security (DHS) และ FBI ออกประกาศแจ้งเตือนถึงมัลแวร์ Volgmer และ FALLCHILL ที่มีความเกี่ยวข้องกับเกาหลีเหนือ

FALLCHILL เป็นมัลแวร์แบบ RAT (Remote Access Trojan) ที่เปิดทางให้แฮกเกอร์เข้าควบคุมเครื่องได้เต็มรูปแบบ เมื่อเครื่องของเหยื่อถูกติดตั้ง FALLCHILL แล้วจะเก็บข้อมูลทั่วไปของเครื่องกลับไปยังเซิร์ฟเวอร์ควบคุม และรอรับคำสั่งรันโปรแกรมใดๆ บนเครื่อง พร้อมกับความสามารถถอนตัวเองออกจากเครื่องของเหยื่อพร้อมลบร่องลอยออกไปได้

ทาง US-CERT เปิดเผยรายชื่อไอพีที่ใช้ควบคุม FALLCHILL พร้อมกับเผยแพร่ค่า MD5 ของไฟล์ในมัลแวร์สองไฟล์คือ 1216da2b3d6e64075e8434be1058de06
และ e48fe20eb1f5a5887f2ac631fed9ed63 ที่เป็นส่วนหนึ่งของมัลแวร์

Florian Bogner นักวิจัยด้านความปลอดภัย รายงานช่องโหว่ AVGate ของโปรแกรมแอนตี้ไวรัสหลายตัว ที่ไวรัสสามารถเจาะผ่านแอนตี้ไวรัส เพื่อเข้าควบคุมเครื่องคอมพิวเตอร์ของผู้ใช้ได้

ปกติแล้วแอนตี้ไวรัสจะนำไฟล์ต้องสงสัยไปเก็บในโฟลเดอร์ Quarantine เพื่อตรวจสอบพฤติกรรม แต่ถ้าแฮ็กเกอร์รู้ช่องโหว่ของระบบไฟล์ NTFS ก็สามารถนำไฟล์นั้นกลับไปใส่ไว้ในโฟลเดอร์สำคัญๆ อย่าง C:\Windows หรือ C:\Program Files ได้

ช่องโหว่นี้ช่วยให้ไวรัส-มัลแวร์สามารถเข้าถึงสิทธิผู้ดูแลระบบ ซึ่งระบบปฏิบัติการป้องกันเอาไว้ค่อนข้างดี แต่เมื่อแอนตี้ไวรัสรันที่สิทธิผู้ดูแลระบบ ก็ใช้วิธีการเจาะผ่านแอนตี้ไวรัสแทน

จากประเด็นเรื่องความเชื่อมโยงของ Kaspersky กับรัสเซีย จนบริษัทต้องประกาศสอบสวนข้อมูลเป็นการภายใน และ ออกมาตรการเรื่องความโปร่งใส

ล่าสุด Kaspersky ออกมาให้ข้อมูลในประเด็น ข้อมูลของพนักงาน NSA โดนล้วง โดยอ้างจากข้อมูล log ภายในของบริษัทเอง ว่าข้อมูลของ NSA ที่หลุดออกไปตามข่าว มีลักษณะตรงกับ มัลแวร์จากกลุ่ม Equation ที่ Kaspersky เคยรายงานการค้นพบในปี 2015 ทำให้ระบบของ Kaspersky พยายามตรวจจับมัลแวร์ที่คล้ายคลึงกันในเวลาต่อมา

จากข่าว เซิร์ฟเวอร์ CCleaner ถูกแฮ็ก โปรแกรมถูกฝังมัลแวร์ ตอนนี้เริ่มมีรายละเอียดของมัลแวร์ตัวนี้ออกมาว่ามันไม่ธรรมดา เพราะมันถูกออกแบบเพื่อตั้งใจโจมตีคอมพิวเตอร์ภายในบริษัทใหญ่ๆ อย่าง Intel, HTC, Samsung, Sony, Microsoft, Cisco ด้วย

รายละเอียดเรื่องนี้มาจาก Cisco Talos หน่วยวิเคราะห์ข้อมูลด้านความปลอดภัยของ Cisco ที่เป็นบริษัทหนึ่งที่ค้นพบมัลแวร์ตัวนี้และแจ้งไปยัง Piriform บริษัทผู้พัฒนา CCleaner (ปัจจุบันเป็นบริษัทลูกของ Avast)

บริษัทความปลอดภัย Check Point ตรวจพบแอพ Android จำนวนอย่างน้อย 50 ตัวที่ฝังมัลแวร์และหลุดรอดการตรวจสอบของกูเกิลขึ้นไปอยู่บน Play Store ได้

Check Point เรียกมัลแวร์ตัวนี้ว่า ExpensiveWall เพราะมันจะสมัครบริการ SMS แบบเสียเงินเพื่อหารายได้จากผู้ใช้สมาร์ทโฟน จากสถิติของ Check Point พบว่ามีคนดาวน์โหลดแอพกลุ่มนี้ไปแล้ว 5.9-21.1 ล้านครั้ง (สถิติการดาวน์โหลดของ Google Play บอกเป็นช่วง) ล่าสุด Check Point แจ้งปัญหาไปยังกูเกิล และกูเกิลลบแอพทั้งหมดออกหมดแล้ว

ในแง่รูปแบบการโจมตีที่สมัคร SMS คงไม่มีอะไรใหม่ แต่ความน่าสนใจของเคสนี้คือเทคนิคของมัลแวร์ที่ "เข้ารหัส" โค้ดส่วนมัลแวร์เอาไว้ เพื่อให้หลบเลี่ยงการตรวจสอบของกูเกิลได้สำเร็จ

Google ได้ลบแอปออกจาก Play Store ไปกว่า 300 แอป หลังได้รับแจ้งจากฝ่ายวิจัยของบริษัท Akamai ว่าแอปที่ดูไม่มีพิษภัยเหล่านั้น (อาทิแอปเล่นหนังหรือริงโทน) แฝงมาด้วย botnet ที่ชื่อว่า WireX และใช้เครื่องที่ิติดตั้งแอปสำหรับการโจมตีแบบ DDoS

โฆษก Google ระบุตอนนี้กำลังพยายามลบแอปและ botnet ออกจากเครื่องที่มีปัญหาทั้งหมด โดยตอนนี้ยังไม่เป็นที่แน่ชัดว่ามีเครื่องที่ติดมัลแวร์มีทั้งหมดกี่เครื่อง ขณะที่นักวิจัยของ Akamai คาดว่าจะอยู่ที่ราวๆ 7 หมื่นเครื่อง ขณะที่การโจมตีของ WireX บางกรณีมีการเรียกค่าไถ่ด้วย

ขณะที่นักวิจัยจากหลายบริษัท อาทิ Google, Akamai, Cloudflare, FLashpoint, Oracle Dyn ฯลฯ กำลังร่วมกันสืบสวนและแก้ปัญหานี้กันอยู่

ในงาน CLOUDSEC ที่สิงคโปร์เมื่อวานนี้ หัวข้อหนึ่งในงานคือ "The Future of Ransomware" โดย Rik Ferguson รองประธานฝ่ายวิจัยของ Trend Micro เล่าถึงประวัติศาสตร์ของมัลแวร์เรียกค่าไถ่ พร้อมกับคาดการณ์ว่าในอนาคตจะมีทิศทางใด

มัลแวร์เรียกค่าไถ่ในอดีต

มัลแวร์เรียกค่าไถ่ตัวแรกๆ ในโลกเกิดในปี 1989 ชื่อว่า AIDS จากการแสดงตัวเองเป็นซอฟต์แวร์ให้ข้อมูลโรคเอดส์ โดยจะถามข้อมูลของผู้ใช้เพื่อประเมินความเสี่ยง แต่เมื่อผู้ใช้เรียกใช้งานจริง มันจะล็อกเครื่องพร้อมบอก "หมายเลขอ้างอิง" ให้จ่ายค่าไถ่เป็นเช็คไปยังตู้ปณ. ในปานามา

Trend Micro รายงานการโจมตีที่ตรวจจับได้จากซอตฟ์แวร์ของบริษัท พบว่ามีการ "โจมตี" จากมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) ครึ่งปีแรกสูงถึง 1,200 ล้านครั้ง ในจำนวนนี้เป็นการโจมตีที่ตรวจพบในไทย 1.35% หรือประมาณ 16.2 ล้านครั้ง

ทาง Trend Micro สำรวจการโจมตีมาต่อเนื่องและพบว่า ransomware เริ่มติดอันดับภัยสำคัญตั้งแต่ปี 2015 อัตราการเติบโตรวดเร็วเป็นอย่างมาก เฉพาะภูมิภาคเอเชียแปซิฟิกเติบโต 41 เท่าตัว และของไทย 13 เท่าตัว

หลังจาก Marcus Hutchins หรือ MalwareTech ผู้ที่โด่งดังขึ้นมาจากการหยุดมัลแวร์ WannaCry ถูกจับกุมขณะกำลังขึ้นบินกลับอังกฤษ รายงานล่าสุดระบุว่าเขาได้รับอนุมัติประกันตัวโดยต้องวางหลักประกัน 30,000 ดอลลาร์ และห้ามออกนอกประเทศ โดยต้องติดเครื่องติดตามตัวไว้ด้วย

ทนายของ Hutchins ระบุว่าคำพิพากษาอนุมัติประกันตัวก่อนสำนักงานศาลปิดไม่นานทำให้ดำเนินการไม่ทัน การยื่นปล่อยตัวจริง

มัลแวร์ WannaCry/WannaCrypt ระบาดในช่วงสามเดือนก่อนสร้างความเสียหายกับบริษัทขนาดใหญ่จำนวนมาก แต่ในโค้ดกับมีการตรวจสอบโดเมนหนึ่ง ถ้าเปิดเว็บไว้มัลแวร์จะหยุดทำงาน เมื่อ Marcus Hutchins หรือชื่อออนไลน์ว่า MalwareTech พบโดเมนนี้ในโค้ดและไปจดโดเมน มัลแวร์ทั้งหมดจึงหยุดทำงานลง แต่หลังงาน DEF CON ในลาสเวกัส เขากลับถูก FBI จับกุมตัวขณะกำลังรอขึ้นเครื่องกลับอังกฤษ ด้วยข้อหาสร้างมัลแวร์ Kronos

Hyrum Anderson นักวิจัยด้านความปลอดภัยจากบริษัท Endgame โชว์ผลงานวิจัยการใช้ AI สร้างมัลแวร์ที่แอนตี้ไวรัสจับไม่ได้

แนวคิดของเรื่องนี้คือนำโค้ดมัลแวร์เดิมที่เป็นไบนารี มาดัดแปลงเพียงเล็กน้อย (น้อยมากๆ ระดับแก้ไม่กี่ไบต์) โดยให้ AI ทดลองหาวิธีแปลงที่น่าจะหลุดรอดการตรวจจับไปเรื่อยๆ จนกว่าจะได้วิธีการที่ดีที่สุด เช่น เติมเลขศูนย์ เติมไบต์สุ่ม เปลี่ยนชื่อบางเซคชั่นในไฟล์ ฯลฯ

AI ตัวนี้ใช้เวลาเทรน 15 ชั่วโมงกับตัวอย่างโค้ด 100,000 ตัวอย่าง (ไม่ระบุว่าทดสอบกับแอนตี้ไวรัสตัวไหน) ผลคือ AI สามารถสร้างโค้ดมัลแวร์ที่มีโอกาสรอดการตรวจจับได้ถึง 60%

Patrick Wardle นักวิจัยจากบริษัท Synack รายงานถึงมัลแวร์ที่เกี่ยวข้องกับมัลแวร์ Fruitfly ที่ค้นพบไปก่อนหน้านี้ โดยมัลแวร์ตัวนี้ติดเครื่องแมคมาแล้วอย่างน้อย 5 ปี และตอนนี้มีเครื่องแมคที่ยังติดอยู่อย่างน้อย 400 เครื่อง

Wardle พบตัวอย่างมัลแวร์และถอดรหัสโดเมนที่ตัวมัลแวร์พยายามติดต่อออกมาได้ จากนั้นเขาจึงทดลองจดโดเมนและตั้งเซิร์ฟเวอร์ขึ้นมา พบว่ามีคอมพิวเตอร์กว่า 400 เครื่องติดต่อเข้ามาทันที โดยคอมพิวเตอร์ที่ติดต่อเข้ามาเป็นคอมพิวเตอร์ตามบ้านในสหรัฐฯ เป็นส่วนใหญ่

บริษัทความปลอดภัย Darktrace ระบุว่าเริ่มค้นพบมัลแวร์รูปแบบใหม่ๆ ที่นำเทคนิคด้าน AI มาใช้งาน เพื่อให้มัลแวร์สามารถเรียนรู้สภาพแวดล้อม และปลอมตัวได้เนียนกว่าเดิม

Nicole Eagan ซีอีโอของ Darktrace บอกว่ามัลแวร์กลุ่มนี้จะปรับพฤติกรรมไปเรื่อยๆ เพื่อให้อยู่ในระบบโดยไม่ถูกตรวจจับได้นานที่สุดเท่าที่จะทำได้ อย่างไรก็ตาม มัลแวร์กลุ่มนี้ยังไม่ได้มีศักยภาพด้าน AI เต็มขั้น แต่ก็เริ่มหยิบบางส่วนมาใช้งาน

ไมโครซอฟท์ออกรายงานวิเคราะห์ มัลแวร์เรียกค่าไถ่ Petya/Petwrap ที่ระบาดไปทั่วโลกเมื่อสัปดาห์ก่อน ว่าเป็นมัลแวร์ที่ซับซ้อนมาก และถือว่าพัฒนาจาก WannaCrypt ไปอีกขั้น ตรงที่มันกระจายตัวต่อผ่านช่องโหว่หลายตัว ไม่ใช่เพียงแค่ช่องโหว่ EternalBlue อย่างเดียวเหมือน WannaCrypt

สถิติของไมโครซอฟท์เองระบุว่า 70% ของเครื่องที่ติด Petya อยู่ในยูเครน และเครื่องส่วนใหญ่เป็น Windows 7 ซึ่งไมโครซอฟท์ก็ถือโอกาสโฆษณาว่า Windows 10 Creators Update มีฟีเจอร์ด้านความปลอดภัยสมัยใหม่หลายอย่าง ที่ช่วยคุ้มครองจากมัลแวร์แบบ Petya ได้

หลังจากที่ Petrwrap ออกโจมตีคอมพิวเตอร์ในยูเครนเมื่อวันอังคารที่ผ่านมา คุณ Matt Suiche นักวิจัยด้วยความปลอดภัยจากบริษัทต่างๆ ได้ข้อมูลเพิ่มเติมเกี่ยวกับ malware ตัวนี้ว่าจริงๆ แล้วมันเป็น wiper (malware ทำลายข้อมูล) มากกว่าที่จะเป็น ransomware โดยนำโค้ดของ Petya มาปรับปรุง

มัลแวร์เรียกค่าไถ่ Petya/Petrwrap/Goldeneye ที่ระบาดทั่วโลกตั้งแต่เมื่อวานนี้ เรียกเงินค่าไถ่ 300 ดอลลาร์เป็น Bitcoin โดยระบุให้ส่งรายละเอียดของการจ่ายเงินไปยังอีเมล wowsmith123456@posteo.net

โดเมนเนม posteo.net เป็นของผู้บริการโฮสติ้งในเยอรมนีรายหนึ่ง หลังข่าว Petya ดังขึ้นมา ทาง Posteo ก็ปิดบัญชีอีเมลดังกล่าวแล้ว ด้วยเหตุผลว่าใช้อีเมลของ Posteo ในทางที่ไม่ถูกต้อง

การปิดบัญชีอีเมลนี้ ส่งผลให้ผู้ที่ติด Petya และโดนเข้ารหัสข้อมูลไปแล้ว ไม่สามารถจ่ายค่าไถ่ได้อีกเลย เพราะตัว Petya ขึ้นช่องทางการติดต่อให้เพียงทางนี้ทางเดียวเท่านั้น

Cisco เปิดตัวสวิตช์รุ่นใหม่ Catalyst 9000 Series ที่ออกแบบมาสำหรับเครือข่ายยุคใหม่ที่บริษัทเรียกว่า intent-based networking

แนวคิดของ Cisco คือการจัดการเครือข่ายยุคหน้าจะต้องฉลาดกว่าเดิม โดยดูจากเจตนา (intent) และบริบท (context) ของทราฟฟิกว่ามาจากไหนและมีเป้าหมายอย่างไร สวิตช์รุ่นใหม่ถูกออกแบบให้ผสานการทำงานระหว่างฮาร์ดแวร์ (ASIC) และซอฟต์แวร์ (iOS XE) เข้าด้วยกันให้จัดการทราฟฟิกได้ฉลาดขึ้น

ฟีเจอร์เด่นของ Cisco Catalyst 9000 คือสามารถตรวจจับมัลแวร์ได้จากทราฟฟิกที่เข้ารหัส โดย Cisco คุยว่าอัตราความแม่นยำสูงถึง 99% โดยที่ไม่ต้องถอดรหัสข้อมูลด้วยซ้ำ

Check Point แจ้งเตือนมัลแวร์ Fireball ที่เน้นหารายได้จากเหยื่อด้วยการโฆษณา จากบริษัทโฆษณา Rafo Technology ในปักกิ่ง ตัวมัลแวร์แพร่กระจายผ่านซอฟต์แวร์ของ Rafo เอง เช่น Deal WIFI หรือ Mustang Browser เบราว์เซอร์ที่โฆษณาว่าเน้นความเป็นส่วนตัว พร้อมบริการบล็อคโฆษณาและ VPN หรือใช้บริการติดตั้งซอฟต์แวร์อื่นๆ

เมื่อติดมัลแวร์เข้าไปแล้ว ตัวมัลแวร์จะเปลี่ยนหน้าค้นหาให้กลายเป็นหน้าเว็บของตัวเอง โดยหน้าเว็บเหล่านั้นใช้ผลค้นหาจากกูเกิลหรือยาฮูตามปกติ แต่ตัวเว็บจะมี tracking pixel เพื่อติดตามพฤติกรรมของผู้ใช้ ตัวมัลแวร์สามารถรันโค้ดใดๆ บนเครื่องของเหยื่อได้

หน้าเว็บของ Rafo ของขายโฆษณาโดยระบุว่าเป็นเครือข่ายโฆษณาที่เข้าถึงผู้ใช้ได้กว่า 300 ล้านคน