El pro­ceso de infec­ción comienza con el acceso de un hacker a una página web, a la que añade una ref­er­en­cia iframe, que apunta al servi­dor donde está insta­l­ado Mpack. En caso de que un usuario vis­ite una de esas pági­nas manip­u­ladas, ese iframe eje­cu­tará el index de Mpack.

Éste, desde el servi­dor donde se encuen­tre insta­l­ado, bus­cará vul­ner­a­bil­i­dades que puedan exi­s­tir en la máquina del usuario. Si detecta alguna, descar­gará el exploit que per­mita aprovecharla.

Una vez ha lle­gado a una máquina, el exploit se eje­cuta y guarda datos sobre la com­puta­dora infec­tada (nave­g­ador, sis­tema oper­a­tivo, etc.). Esa infor­ma­ción será luego envi­ada a un servi­dor donde se almacenará.

Pan­daL­abs local­izó 41 servi­dores que estarían reci­bi­endo esos datos. Desde esos servi­dores los ciber-delincuentes pueden elab­o­rar estadís­ti­cas sobre el tipo de sis­tema oper­a­tivo o nave­g­ador web de las máquinas afec­tadas o sobre la inci­den­cia de infec­ciones según el área geográfica.

Para lle­var a los usuar­ios hasta esas pági­nas los hack­ers uti­lizan téc­ni­cas como el envío de spam, la com­pra de domin­ios con nom­bres sim­i­lares a los legales (gookle, en vez de google, por ejem­plo) o la infec­ción de pági­nas que ya sean muy visitadas.

Mpack puede definirse como un “Kit de insta­lación de mal­ware medi­ante exploits”, ya que puede detec­tar y descar­gar los exploits cor­re­spon­di­entes para aprovechar un gran número de prob­le­mas de seguridad.