Mail, pochodzący rzekomo od Poczty Polskiej, informuje o wysłaniu przesyłki, kwocie pobrania, a także terminie odbioru paczki. Dodatkowo w załączniku znajduje się archiwum ZIP, zawierające plik, który ma udawać fakturę. Tak naprawdę, klikając w plik znajdujący się w archiwum, instalujemy na komputerze złośliwe oprogramowanie. Po tym, jak zagrożenie zostanie uruchomione na komputerze, dodaje wpis do rejestru, który powoduje automatyczne uruchamianie zagrożenia przy każdym starcie systemu Windows. Zagrożenie regularnie kontaktuje się ze zdalnym serwerem w oczekiwaniu na polecenia: pobrania danego pliku, uruchomienia pliku, przesłania zgromadzonych danych czy aktualizacji do najnowszej wersji.
Zagrożenie zbiera dane w systemie ofiary, m.in. informacje o systemie operacyjnym i użytkowniku systemu, a także ciasteczka z popularnych przeglądarek internetowych oraz dane logowania do skrzynek mailowych. Następnie wszystkie zebrane dane, loginy i hasła przesyła na zdalny serwer — mówi Kamil Sadkowski, analityk zagrożeń z firmy Eset.
Eksperci Eset oznaczyli zagrożenie jako Win32/PSW.Papras.CK i nie jest to pierwszy przypadek występowania zagrożenia tak sklasyfikowanego. Pierwszą detekcję podobnego zagrożenia Eset wykrył już w 2013 roku i posiadało ono zbliżone funkcjonalności do tego wysyłanego w imieniu Poczty Polskiej. Antywirus Eset wykrywa zagrożenie i blokuje dostęp do niebezpiecznego pliku, dzięki czemu użytkownik uniknie infekcji swojego systemu.