По словам экспертов, веб-скиммер был найден в метаданных EXIF-файла, который загружался взломанными интернет-магазинами с плагином WooCommerce для WordPress на борту.
Вредоносную активность удалось проследить до сайта cddn.site, с которого загружался вредоносный файл favicon. Как оказалось, злоумышленники использовали favicon, идентичные настоящим в скомпрометированных магазинах, а веб-скиммер подгружался из поля Copyright в метаданных изображения при помощи тега <img>.
Этот веб-скиммер, как и другие, похищал содержимое полей ввода, куда покупатели вписывали свое имя, биллинг-адрес, данные кредитной карты и так далее. Когда информация собрана, скиммер шифровал собранные данные и через POST-запрос передавал на удаленный сервер своим операторам тоже в виде файла изображения.