کاربران زیادی هفتهی گذشته در توییتر با نشان دادن عکسهایی از صفحه نمایش خود ، گزارش دادند که اسکایپ ،آنها را مجبور به دانلود نسخه بروز شدهی فلش پِلِیِر کرده است. با تأکید بر اسم فایل نصب شده بنام FlashPlayer.hta، بروزرسانی جعلی ای یافت شد که توسط یکی از تبلیغات درون-برنامهای بکار گرفته شده که معمولا این برنامهی پیام رسان به کاربرانش ارائه میدهد.
فایل HTA که درواقع یک فایل HTML است، از طریق چیزی که یک کاربر به آن مراجعهکرده است مثل "سایتی با ظاهرِ عاری از جزئیات" بخدمت گرفته شده و چنین باوری درمورش وجود دارد که این فایل برای دانلود یک باجافزار یا انواع بدافزارهای دیگر طراحی شده است.( HTA برای توزیع باجافزارهایی مانند Locky، Cerber و اخیرا Spora پدیدار شده است).
BleepingComputer گزارش میدهد این بستهی فایل طوری طراحی شده تا کد جاوااسکریپتی را دچار سردرگمی کند. این کد برای نمایش و اجرای یک پاورشلاسکریپتی که موظف است محتوای مرحله دوم را دانلود کند که در یک مورد یک فایل JSE (جاوااسکریپت رمزگذاری شده) بود طراحی شده است . گرچه به این خاطر که دامنه هایی که میزبان محتوا هستند، حین تجزیه تحلیلها از کارافتاده بود، محققینِ مشغول بررسی حادثه، نتوانستند تأیید کنند که چه نوع بدافزاری پخش شده است.
صرف نظر از اینکه آنها توانستند دو دامنه oyomakaomojiya[.]org و cievubeataporn[.]net را به دهها دامنه مشکوک دیگر متصل کنند، بیشتر آنها قبلا شریک انواع مختلف فعالیتهای مخرب شده بودند. تمام دامنه هایی که تنها با استفاده از دو آدرس ایمیل ثبت شده اند ولی بنظر میرسد که هیچکدام قبل از تاریخ 22 فوریه 2017 ثبت نشده اند.
بعلاوه، تعدادی از آدرسهای IP میزبان سایتها، با سرورهایی شریک شدهاند که قبلا میزبان دامنه های مخرب دیگر بوده اند. با نفوذ بیشتر به عمق مسئله، محققین دریافتند تاکنون یک آدرس ایمیل دیگر برای ثبت بیش از 35 دامنه از 23 فوریه 2017 استفاده شده است و به این نتیجه رسیدند که گروهی از هکرهای ماهر روزانه اقدام به ثبت تعداد زیادی دامنه جدید میکردند، که بیشتر شبیه به بخشی از یک لشکرکشی بدافزاری است.
به این خاطر که مهاجمان از تعداد زیادی دامنه که بیشتر آنها TTLکوتاهی داشتند استفاده میکردند، محققین نتوانستند محتوای نهایی را نگهدارند.
هنوز هم واضح نیست که چطور تبلبغات مخرب توسط اسکایپ به خدمت گرفته شدند(گرچه اتفاقات مشابه قبلا دیده شده است)، اما محتمل ترین دلیل این است که مجرمین سایبری بوسیله تظاهرهای دروغین، اقدام به ثبت تبلیغ با شبکه تبلیغات کردند و سپس کد مخرب خود را بجای تبلیغات قانونی ارائه کردند.
مایکروسافت به درخواست برای اطلاعات بیشتر درمورد این اتفاق، پاسخی نشان نداد.
طبق گزارش ژانویه 2017 از RiskIQ، پدیده بدافزار کردن، از سال2016 تاکنون، 132% افزایش داشته است