شبکه بات گمرو، وبسایتهای وردپرس را سرقت کرده و برای حملههای فیشینگ خود استفاده میکند.
بر اساس گزارش محققان امنیتی، افرادی که پشت این شبکه قرار دارند در طول سالهای فعالیت خود، از انتشار فایلهای اجرایی و روشهای کلاسیک به روشهای مدرن امروزی دستیافتهاند. محققان امنیتی توانستند به یکی از سرورهای C&C این بات نفوذ کرده و اطلاعات سرقت شده شامل ایمیل، کوکی و حتی صفحه لاگین مدیریت ( شکل زیر) را به دست آورند. همچنین آنها توانستند ابزارهای معمول که اکثر هکرها استفاده میکنند را شناسایی کنند. همچنین کدهای مخرب جاوا اسکریپت شناسایی شد که در کدهای اچ.تی.ام.ال (HTML) پنهان شده بودند تا در ایمیلهای اسپم استفاده شوند.
پس از نفوذ به سرور، محققان امنیتی توانستند کدهای منبع استفادهشده در حملههای فیشینگ را شناسایی کنند که اکثر آنها مربوط به مدیریت محتوای وردپرس میشدند. در شکل زیر لیست وبسایتهای آلوده وردپرس نمایش داده شده است.