แฮกเกอร์ที่เกี่ยวข้องกับการทำแคมเปญมัลแวร์เพื่อเปลี่ยนเส้นทาง ได้มีการขยายขนาดของแคมเปญโดยการใช้โดเมนปลอมมากกว่า 70 โดเมน ที่เลียนแบบตัวย่อ URL และทำให้เว็บไซต์กว่า 10,800 เว็บไซต์ติดมัลแวร์ โดยมีวัตถุประสงค์หลัก คือเพิ่มการเข้าชมหน้าเว็บไซต์ที่มี AdSense ID ที่มีโฆษณาของ Google เพื่อสร้างรายได้ให้แฮกเกอร์จากการเพิ่มจำนวนการเข้าชมที่เกินจริง และทำให้ Google เข้าใจว่ายอดผู้ชมเหล่านั้นเป็นคนจริง ๆ ที่คลิกเข้าชมจาก IP ที่ต่างกัน

Ben Martin นักวิจัยของ Sucuri ผู้ให้บริการแพลตฟอร์ม Web Security กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้วว่าพบแคมเปญที่เป็นอันตรายที่ถูกเปิดเผยครั้งแรกโดยบริษัท GoDaddy ในเดือนพฤศจิกายน 2022 โดยแฮกเกอร์ได้เพิ่มประสิทธิ์ภาพของเว็บไซต์เหล่านี้ให้แสดงในผลลัพธ์ของเครื่องมือค้นหาเพื่อนำผู้ชมไปยังเว็บไซต์อื่น โดยสิ่งสำคัญของแคมเปญในครั้งนี้ คือการใช้ลิงก์ผลการค้นหาของ Bing และบริการย่อลิงก์ (t[.]co) ของ Twitter ร่วมกับ Google ในการเปลี่ยนเส้นทาง

นอกจากนี้ยังมีโดเมน URL ปลอมยอดนิยม เช่น Bitly, Cuttly หรือ ShortURL ที่จะนำพาผู้ชมไปยังเว็บไซต์ Q&A ที่สร้างขึ้นมาโดยแฮกเกอร์ Sucuri ระบุว่าเว็บไซต์ Q&A นั้นเป็นเว็บไซต์ที่เกี่ยวกับ blockchain และ cryptocurrency ซึ่งโดเมน URL เหล่านี้อยู่บน DDoS-Guard ที่เป็นผู้ให้บริการโครงสร้างพื้นฐานอินเทอร์เน็ตของรัสเซียที่ให้บริการป้องกันด้าน DDoS สำหรับโฮสติ้ง และแฮกเกอร์ยังเพิ่มมัลแวร์เข้าไปในไฟล์ wp-blog-header.