Отличительной особенностью этих писем является то, что все они содержат цветной текст/ссылку, указывающий на взломанные легитимные сайты. Ссылки также показывают, что файлы располагаются прямо на корневых URL, а не как обычно в подпапке какого-нибудь уязвимого приложения. Можно предположить, что у злоумышленников есть доступ на запись как минимум к корневому каталогу веб-сервера таких сайтов, что является очень тревожным фактом. Также есть подтверждение тому, что во многих случаях вышеупомянутые спамовые ссылки хранились на серверах жертв, а, кроме того, вредоносные iframe и javascript внедрялись в основной контент сайтов. Еще один образец, полученный  сегодня, лишь подтверждает, что киберпреступники не особо ценят домены, которыми они пользуются в своих целях. Создается впечатление, что у них в распоряжении имеется целый пул доменов. На предлагаемом ниже скриншоте приведен пример спам-рассылки, где каждая из 12 ссылок, содержащихся в теле письма, ведет на отдельный сайт. Все эти сайты также содержат в своем корне вредоносный код, который мы детектируем как Trojan-Clicker.JS.Agent.*

Пожалуйста, не пытайтесь пройти по ссылкам, приведенным в скриншоте, если вы не уверены в том, что вы делаете.