การโจมตีดังกล่าวเริ่มจากโพสต์บนกระดานข้อความ (วอลล์) ของผู้ใช้ที่ตกเป็นเหยื่อซึ่งได้เชื้อเชิญให้ผู้ใช้รายอื่นๆ ติดตั้งธีมวาเลนไทน์ไว้ในโปรไฟล์ Facebook ของตน ซึ่งเมื่อผู้ใช้คลิกที่โพสต์ดังกล่าว ก็จะถูกนำไปยังอีกเพจหนึ่งที่จะชักชวนให้พวกเขาทำการติดตั้งธีม โปรดสังเกตว่าการโจมตีนี้จะเกิดขึ้นเฉพาะกับเบราว์เซอร์ Google Chrome หรือ Mozilla Firefox เท่านั้น
การคลิกปุ่ม Install (ติดตั้ง) บนเพจนั้นจะเป็นการดาวน์โหลดไฟล์อันตรายที่ชื่อว่า FacebookChrome.crx ซึ่งบริษัท เทรนด์ ไมโคร ตรวจพบว่าเป็น TROJ_FOOKBACE.A และเมื่อมีการเรียกใช้งานไฟล์ดังกล่าว TROJ_FOOKBACE.A ก็จะเริ่มการทำงานสคริปต์ที่สามารถแสดงโฆษณาจากเว็บไซต์บางแห่งขึ้นมา นอกจากนี้ไฟล์อันตรายดังกล่าวยังจะติดตั้งตัวเองในเบราว์เซอร์ของผู้ใช้ในรูปแบบของส่วนขยายที่ชื่อว่า Facebook Improvement |Facebook.com อีกด้วย
เมื่อติดตั้งตัวเองเรียบร้อยแล้ว ส่วนขยายเบราว์เซอร์ที่เป็นอันตรายนี้ก็จะแอบติดตามกิจกรรมการท่องเว็บของผู้ใช้และเปลี่ยนทิศทางไปยังเพจแบบสำรวจที่จะสอบถามหมายเลขโทรศัพท์มือถือของผู้ใช้ ส่วนผู้ใช้ที่คลิกโพสต์ผ่านเบราว์เซอร์ Internet Explorer (IE) จะถูกนำไปยังแบบสำรวจเดียวกันนี้เช่นกัน แต่จะไม่ได้ถูกขอให้ดาวน์โหลดสิ่งใด
เมื่อทำการวิเคราะห์เพิ่มเติม เราพบว่าการโจมตีนี้จะมีประสิทธิภาพเพิ่มขึ้นอย่างมาก หากผู้ใช้กำลังใช้งาน Google Chrome หรือ Mozilla Firefox อยู่ เนื่องจากจะดูเหมือนว่าเบราว์เซอร์ดังกล่าวกำลังทำการดาวน์โหลดส่วนขยายที่ถูกต้องตามปกติ โดยที่ไม่จำเป็นต้องให้ผู้ใช้ทำการโต้ตอบใดๆ มากนักในการดาวน์โหลดเมื่อเทียบกับผู้ใช้ Internet Explorer (ในกรณีที่ผู้ใช้ถูกนำไปยังแบบสำรวจ)
การโจมตีที่เกิดจากแนวคิดของการแอบอ้างว่าเป็นส่วนขยายที่ถูกต้องของ Chrome นั้น ทำให้เราสามารถสรุปได้ว่าผู้ใช้ Chrome ตกเป็นเป้าหมายหลักของการโจมตีในรูปแบบนี้ ขณะที่การปรับเปลี่ยนทิศทางไปยังเพจอื่นสำหรับผู้ใช้ IE ถือเป็นประเด็นรอง
อย่างไรก็ตาม แม้ว่าการโจมตีนี้จะเกี่ยวข้องกับการติดตามกิจกรรมของเบราว์เซอร์ แต่ดูเหมือนว่า TROJ_FOOKBACE.A ไม่ได้มีเทคนิคการขโมยข้อมูลใดๆ ซึ่งน่าจะเข้าข่ายของการโจมตีแบบการขโมยคลิกของผู้ใช้ที่เรียกว่า Clickjacking มากกว่า นั่นคือจะมีการคลิก ‘ถูกใจ’ เพจบน Facebook ในหลายๆ เพจให้โดยอัตโนมัติและมีการโพสต์ข้อความบนวอลล์ของผู้ใช้ที่ตกเป็นเหยื่อให้โดยอัตโนมัติด้วย
โดยความเป็นจริงแล้ว การโจมตีที่พุ่งเป้าไปที่ Chrome และ Firefox อาจหมายความว่าอาชญากร ไซเบอร์กำลังกำหนดเป้าหมายเป็นเบราว์เซอร์ที่ใช้งานได้กับส่วนขยาย และกำลังพยายามเอาชนะเบราว์เซอร์ทางเลือกที่กำลังได้รับความนิยมมากขึ้นเรื่อยๆ อย่างไรก็ตาม แม้ว่าการโจมตีในลักษณะนี้จะไม่ใช่ครั้งแรก แต่สิ่งที่เราพบก็คือเบราว์เซอร์ที่รองรับส่วนขยายกำลังตกเป็นเป้าหมายหลักอยู่ในขณะนี้ และถือเป็นการแจ้งเตือนให้เราทุกคนทราบว่าการโจมตีที่เป็นอันตรายในลักษณะนี้บนอินเทอร์เน็ตจะยังคงเกิดขึ้นอย่างต่อเนื่องในอนาคต
ทั้งนี้ บริษัท เทรนด์ ไมโคร ได้ช่วยปกป้องผู้ใช้จากการโจมตีนี้แล้วผ่านทางเครือข่ายป้องกันภัยอัจฉริยะที่เรียกว่า เทรนด์ ไมโคร สมาร์ท โพรเท็คชั่น เน็ตเวิร์ค (Trend Micro Smart Protection Network) ซึ่งจะทำหน้าที่ตรวจหาไฟล์ที่เป็นอันตรายและบล็อก URL อันตรายที่เกี่ยวข้องทั้งหมด