Česká republika byla po Turecku zřejmě druhou nejzasaženější zemí, ve které útočníci v nedávné vlně útoků podvržené e-maily a stránky použili. Eset odhaduje, že v Turecku se trojanem Win32/Spy.Hesperbot nakazily stovky počítačů, v Česku pak šlo řádově o desítky. Virus se šířil také v Thajsku, Velké Británii nebo Portugalsku.
Útočníci využívali ve všech zemích podobnou a jednoduchou metodu: založili podvržený web, který se tvářil jako stránky nějaké důvěryhodné instituce a pořídili mu doménu, která se co nejvíce podobala její skutečné adrese (v ČR tak 7. srpna zaregistrovali doménu www.ceskaposta.net).
Na adresy vybraných obětí pak posílali e-maily, které vypadaly – v českém případě – jako hlášení o nedoručené zásilce a vyzývaly uživatele, aby klikli na odkaz s dalšími informacemi. Místo na skutečné stránky pošty se ale dostali na podvržený web. České uživatele mohla varovat mimo jiné podivná čeština:
Pokud uživatel naletěl, mohl svůj počítač infikovat bankovním trojanem Win32/Spy.Hesperbot. Ten podle Esetu ovládá řadu klasických triků: od rozeznávání a zaznamenávání stisknutých kláves, přes pořizování screenshotů nebo nahrávání videa zaznamenávajícího dění na obrazovce až po vytváření vzdálené proxy, skrytých VNC serverů nebo sledování síťového provozu a injektování HTML.
Útočníci jeho prostřednictvím mohli získat přístupy k internetovému bankovnictví napadených uživatelů nebo je přimět k instalaci škodlivého kódu do smarphonů s operačními systémy Android, BlackBerry nebo Symbian. Podle Esetu některé české oběti viru přišly o velké sumy peněz – zdroj tohoto tvrzení ale firma neuvádí.
Většímu rozšíření trojana v Česku zřejmě zabránila i rychlá reakce České pošty, která hned 8. srpna vydala varování před podezřelými e-maily. Druhou vlnu obdobných útoků pak pošta zaznamenala kolem 30. srpna.