Komputer dan halaman web yang "tertular" sebagian besar berada di Italia. Namun para pengguna internet di negara-negara lain termasuk di AS dan Spanyol juga terserang akibat mengunjungi situs pariwisata dari Italia.
Ancaman web ini dimotori oleh sebuah perangkat malware yang dikenal dengan sebutan MPack yang pertama kali terdeteksi pada akhir tahun 2006. MPack menunjukkan peningkatan kemampuan dalam meng-hack secara profesional sejak para hacker dari Rusia menjualnya dengan tambahan fitur yang lebih kaya dan portfolio eksploitasi yang lebih beragam dengan harga USD1.000 (naik beberapa ratus dolar dari versi sebelumnya). Mereka juga memberikan aplikasi komersil yang serupa dengan pen-download upgrade versi terbaru. MPack versi lama memiliki model penyerangan yaitu membajak situs-situs resmi dan legal sehingga menjadi tanda dimulainya era di mana tidak ada lagi situs yang aman. Sementara itu, perkembangan dari sisi teknologi keamanan juga meningkat. Tak heran bila muncul teknologi pengaman yang mampu mendeteksi MPack dan varian-variannya.
Penularan MPack Ancaman web MPack menggunakan Inline Frame (IFRAME) yang terdapat di dalam semua situs untuk menyerang korbannya. IFRAME adalah elemen HTML yang bertugas untuk me-loading sebuah dokumen HTML kedua sebagai sebuah 'frame' di sekitar dokumen utama. Pada kasus ancaman web Italian Job, ketika sebuah Web browser membuka sebuah situs yang dibajak oleh MPack, kode IFRAME yang berbahaya otomatis ter-download dengan sendirinya ke komputer korban melalui sebuah file JavaScript yang diidentifikasi sebagai JS_DLOADER.NTJ. File ini akan men-download sebuah Trojan, TROJ_SMALL.HCK, yang kemudian akan men-download dua Trojan lainnya yaitu TROJ_AGENT.UHL dan TROJ_PAKES.NC.
Trojan PAKES membuka kesempatan bagi program keylogger atau pencuri informasi stealer untuk masuk ke dalam komputer korban. Sementara itu, Trojan AGENT akan berperan sebagai sebuah server proxy yang memungkinkan para hacker untuk mengendalikan komputer korban dari tempat lain pada saat tersambung dengan internet sehingga komputer korban menjadi bagian dari sebuah botnet.
Perkembangan Terbaru Mungkin hal yang paling aneh dari serangan ini adalah tidak ada hal yang benar-benar baru darinya. Serangan ini menggunakan malware yang sudah pernah menyerang sebelumnya, bahkan sebagian dari malware tersebut sudah pernah menyerang beberapa bulan sebelumnya. Di masa lalu, penyebaran virus selalu berhubungan dengan sebuah program viral baru (atau sebuah versi terbaru dari program lama yang telah dimodifikasi secara lebih baik sehingga membutuhkan perlindungan baru). Kini, suatu serangan baru dapat berupa penggunaan kembali skema ancaman yang sudah ada. Hal yang paling aneh dari hal ini adalah para penjahat cyber yang menyebabkan ancaman ini membeli komponen MPack yang sudah jadi.
Ancaman web Italian Job berisi file pengeksploitasi yang didesain untuk Internet Explorer, Mozilla Firefox, Opera, dan bahkan Java Script serta WinZIP. Terdapat peralatan yang cukup untuk menjangkiti sebagian besar pengguna internet yang kurang waspada.
Serangan-serangan yang terjadi ini tidak bisa menandingi serangan virus di masa lalu. Sebuah virus yang bisa mereplikasi diri dapat menjangkiti jutaan komputer dalam waktu yang sangat cepat. Hal yang membedakan serangan yang terjadi saat ini dengan yang terjadi di masa lalu adalah motifnya. Serangan-serangan yang terjadi saat ini bermotif ekonomi. Pencurian identitas dan informasi pribadi korban menjadi target utama serangan.
Untuk dapat terhindar dari serangan ini, para pengguna harus mengikuti semua standar pengamanan yang disarankan seperti menggunakan program pengaman internet yang terintegrasi, rutin meng-update dan mengupgrade OS dan aplikasi (terutama aplikasi browser). Jika para pengguna mencurigai adanya hal aneh pada komputer mereka, lakukan pengecekan dengan melakukan pemindaian dengan antivirus yang dimiliki.
MPack ini adalah file php yang mengandung malicious javascript/html. Saat korban mengunjungi /membuka suatu situs yang telah mengandung Mpack, maka Mpack ini akan bekerja secara otomatis untuk :
1. Melakukan identifikasi terhadap jenis Browser dan Sistem Operasi yang dipakai oleh pengunjung 2. Pengelompokan berdasarkan Browser dan Sistem operasi memudahkan dalam proses Attack, Misalnya Apabila pengunjung menggunakan Browser Internet Explorer maka proses Attack menggunakan MSIE exploit 3. Jika berhasil maka langkah selanjutnya adalah memasukan/menginstall file yang berekstensi executable dan tentu saja dijalankan 4. Kadang kala Trik Social Engineering dipergunakan juga
