Для получения польской шенгенской визы гражданам Республики Беларусь нужно записаться на собеседование, заполнив онлайн-анкету на сайте консульства в системе e-Konsulat. Запись открывается в заранее назначенное время, и свободные места расходятся в считанные минуты.
Высокий спрос на польские визы становится причиной создания веб-скриптов, которые автоматически отслеживают наличие свободных мест, перехватывают и заполняют анкеты. Подобные скрипты создаются для личного пользования или последующей перепродажи мест для регистрации в электронной системе. Операторы ботнета, обнаруженного экспертами Eset руководствовались схожей логикой, но усовершенствовали технологию.
В конце прошлого года операторы ботнета начали распространять загрузчик MSIL/Agent.PYO с помощью набора эксплойтов Nuclear Exploit Kit. Атака была ориентирована на пользователей из Белоруссии, поскольку система e-Konsulat позволяет заполнять анкеты на визы только с местных IP-адресов. По статистике, 16-21 декабря 2014 года более 200 тыс. потенциальных жертв были перенаправлены на вредоносное содержимое по укороченным ссылкам bit.ly.
20-21 декабря боты начали получать команды на заполнение онлайн-анкет в системе e-Konsulat. Создатели вредоносной программы несколько раз выпускали для нее обновления. Анализ ботнета показал, что в нем содержится около 300 компьютеров, почти все из них находятся в Белоруссии. В течение последующих пяти недель специалисты зафиксировали более тысячи компьютеров, участвующих в деятельности ботнета.