Szteganográfiát alkalmaz az a malware, amelyik online hirdetésekbe rejtve várja áldozatait. A fertőzött kódot a képekbe bújtatta el a fejlesztő, ezeken keresztül irányítja át az áldozat böngészőjét a DNSChangert futtató oldalakra, ahol egy exploit nem is a gépet, hanem a routert fertőzi meg.

Két esetben van félnivaló, ha ismert sebezhetőséggel rendelkező hálózati eszközt használ az ember, illetve akkor, ha az alapértelmezett felhasználónév-jelszó páros nem lett megváltoztatva a routeren. A DNSChanger gazdája által kezelt névfeloldószerverre konfigurálja át az eszközt, hogy aztán mindenfelé irányíthassa a kéréseket, ahelyett, hogy a felhasználó a kívánt oldalakat látogatná meg.

[+]

Nem mindenki van veszélyben, először egy IP-cím ellenőrzés történik, ahogy ez a célzott reklámoknál egyébként is megszokott. Ha a felhasználó IP-je nem tartozik a célcsoporthoz, fertőzés nélküli reklámot kap. Ha viszont igen, akkor jön a kamuhirdetés a metadatába rejtett kóddal, ami átirányít az egyik, DNSChangert hosztoló oldalra. Itt újabb IP ellenőrzést követően érkezik meg a routert támadó kódot tartalmazó hirdetés.

Ha van ismert sebezhetőség, akkor azon keresztül, ha nincs, akkor az alapértelmezett adminisztrátori adatokkal próbál bejutni a hálózatvezérlőbe a kártevő, ha egyik sem jön be, a támadás véget ér, lehet tovább internetezni.

[+]

A webRTC protokollt használó DNSChanger STUN server kéréseket küld, Windows és Android rendszereken is a Chrome böngésző fekszik neki a legjobban, majd megvizsgálja a routert, sebezhetőség után kutatva. A kártevőről beszámoló kutató azt mondja, még nincs elég információ azzal kapcsolatban, hogy hányan fertőződtek meg, kiket támad elsősorban a DNSChanger, viszont állítja, hogy hasonló akciója már volt a készítőnek, akkor több mint 1 millió embert ért el a malware naponta.