Die 0.90-Version ist bereits die sechste von Panda Software entdeckte Version des Baukastens. Beim Kauf von MPack garantieren die Programmierer, dass ihr „Produkt“ noch von keiner Antiviren-Lösung erkannt wird. Ändert sich das, können die Käufer für zwischen 50 und 150 US-Dollar Updates ihrer Exploits erhalten. Im Preis inbegriffen ist ein Jahr technischer Support.
Die mit MPack individuell entwickelten Exploits werden von Cyber-Kriminellen zum Ausnutzen von bekannten und unbekannten Sicherheitslücken in verschiedenen Betriebssystemen eingesetzt. Dazu ruft der Hacker von ihm ausgewählte Webseiten auf und fügt dort eine iframe* Referenz zu einem Server, der MPack hostet, hinzu. Wiederholt er diesen Vorgang auf mehreren Seiten, steigt die Wahrscheinlichkeit einer erfolgreichen Infektion. Untersuchungen der PandaLabs haben bestätigt, dass aktuell über 350.000 solcher Websites aktiv sind.
Der Infektionsprozess verläuft folgendermaßen: Der nichts ahnende Anwender surft im Internet und ruft eine Website mit einem vom Hacker eingebundenen iframe auf. MPack sucht dann auf dem Computer nach vorhandenen Schwachstellen, lädt den entsprechenden Exploit aufs System und infiziert es. Neben den individuellen Schadfunktionen, die jedes Exploit ausführt, haben alle auch eine identische Funktion: Sie stellen eine Liste mit Rechner-Daten (Browser, Betriebssystem, etc.) zusammen, die sie an verschiedene Server senden. Die Panda Software Labore konnten bis dato 41 Server lokalisieren, auf denen die gesammelten Statistiken gespeichert sind.
Um User überhaupt auf die manipulierten Seiten zu lotsen, verwenden die Hacker mehrere Techniken:
- Social Engineering Spam mit Links zu den entsprechenden Webseiten
- Trick Domains (z.B. Gookle statt Google)
- Iframes auf Seiten, die häufig besucht werden
Die erste MPack-Version (0.33) wurde im Dezember 2006 in einem russischen Forum entdeckt. Seitdem sind in regelmäßigen Abständen von ca. einem Monat neue Versionen erschienen.
* Iframes werden zum Einbinden von Webdokumenten auf Webseiten genutzt