研究人員首先發(fā)現(xiàn)了一個(gè)與針對(duì)波蘭銀行的網(wǎng)絡(luò)釣魚(yú)活動(dòng)相關(guān)的惡意文件。攻擊者在電子郵件中采用模仿和恐慌/誘餌技術(shù)，誘使受害者下載銀行惡意軟件。

這些釣魚(yú)郵件要求用戶確認(rèn)交易的虛假內(nèi)容，包含了指向惡意PHP文件的鏈接，訪問(wèn)者被專門(mén)定義了用戶代理，顯示虛假的 404 錯(cuò)誤頁(yè)面。如果用戶使用代理過(guò)濾器，美國(guó)站群服務(wù)器 亞洲服務(wù)器，將顯示虛假的谷歌 reCAPTCHA頁(yè)面，然后惡意PHP文件會(huì)再次檢查受害者的瀏覽器用戶代理，根據(jù)手機(jī)系統(tǒng)執(zhí)行相關(guān)操作，directadmin安裝，下載對(duì)應(yīng)版本的惡意軟件。

美國(guó)時(shí)間 2 月 21 日，據(jù)網(wǎng)絡(luò)安全公司 Sucuri 的博客稱，其研究人員發(fā)現(xiàn)了冒充谷歌 reCAPTCHA 針對(duì)波蘭銀行用戶網(wǎng)絡(luò)釣魚(yú)活動(dòng)。