По данным производителя антивируса, как русскоязычная (wciom.ru), так и англоязычная (wciom.com) версии web-сайта ВЦИОМ были скомпрометированы после того, как злоумышленникам удалось создать на ресурсе центра раздел, который содержал заголовки, соответствующие популярным поисковым запросам (например, "скачать-книгу-метро-2035-в-формате-fb2", "скачать-adblock" и т. д.).
В результате после попытки перейти по одной из ссылок пользователь попадал на страницу, которая имитировала сервис "Яндекс.Диск" или же на страницу с заголовком WCIOM.RU, где ему предлагалось скачать вредоносный архив. Содержимое архивов было представлено в виде "полезного" контента - электронной версии книги или каталога косметической продукции.
Внутри размещенных киберпреступниками архивов находится вредоносное ПО из семейства троянов-загрузчиков, которое предлагает жертве выбрать один из двух вариантов загрузки - обычную либо выборочную. При выборочной пользователь мог предотвратить скачивание некоторых компонентов вредоносного ПО.
Злоумышленники устанавливали на компьютер жертвы программу-майнер для добычи криптовалюты, а также потенциально нежелательное ПО - программу AnySend, браузер "Комета" и плагины, изменяющие стартовую страницу установленного интернет-обозревателя. По данным специалистов "Доктор Веб", количество потенциальных жертв злоумышленников исчисляется десятками тысяч.