Незалежний дослідник безпеки, відомий під псевдонімом Kafeine, виявив, що зловмисники розробили web-інструмент для викрадення DNS, за допомогою якого вони шукають уразливості в застарілі версії плагінів для браузера, наприклад, Flash Player, Java, Adobe Reader і Silverlight. При цьому мета кіберзлочинця полягає у встановленні шкідливого ПО на ті комп'ютери, де не встановлені останні оновлення для популярних плагінів.

Kafeine повідомив, що користувачі Chrome перенаправляються на шкідливий сервер, який призначений для визначення моделі маршрутизатора. Під час здійснення подібної атаки кіберзлочинець замінює прописаний у налаштуваннях маршрутизатора DNS-сервер на контрольований ним сервер. Це дозволяє йому перехоплювати трафік і пошукові запити, а також впроваджувати шкідливе ПЗ.

В списку виробників, чиї пристрої можуть бути пізнані зловмисниками, входять Asustek Computer, Belkin, D-Link, Edimax Technology, Linksys, Medialink, Microsoft, Netgear, Shenzhen Tenda Technology, TP-Link Technologies, Netis Systems, Trendnet, ZyXEL Communications і HooToo.

Інструмент намагається змінити налаштування DNS маршрутизатора в залежності від виявленої моделі, використовуючи відомі уразливості пристрої.

На web-сайт впроваджується шкідливий код, який дозволяє перенаправити користувача на підконтрольний киберпреступнику сервер. Після цього зловмисник може отримати IP-адресу жертви, інформацію про ОС, географічне розташування, тип браузера і список встановлених плагінів. Отримавши ці дані, кіберзлочинець вибирає потрібний в конкретній ситуації экплоит.