Atakujący wykorzystali znaną i wyjątkowo skuteczną technikę infekcji komputerów swoich ofiar – rozsyłali wiadomości mailowe łudząco przypominające te przesyłane przez znane firmy i instytucje. Zagrożenie rozprzestrzeniało się w mailach jako załącznik przypominający plik programu Word – w rzeczywistości był to plik wykonywalny z podwójnym rozszerzeniem (.doc i.exe). Jeśli użytkownik nie zorientował się, że mail jest pułapką i otworzył załącznik do niego dołączony, złośliwy plik instalował się na komputerze ofiary. Następnie wirus łączył się z serwerem cyberprzestępców, aby pobrać dwa dodatkowe komponenty. Połączenie tych dwóch nowych zagrożeń pozwalało atakującemu nie tylko przejąć pełną kontrolę nad zainfekowanym komputerem, ale także wykraść cenne dane. Zagrożenia umożliwiały atakującemu określić rozszerzenie, datę utworzenia oraz rozmiar plików, które mają zostać przesłane do serwera.
Działanie wszystkich komponentów wykorzystywanych podczas ataku zależne było od komunikacji sieciowej. Aby zwiększyć szanse nawiązania połączenia, zagrożenie wykorzystywało dwie niezależne metody. Najpierw próbowało wykorzystać protokół HTTP, służący do wyświetlania stron internetowych. Jeśli w ten sposób nie udało się nawiązać połączenia, zagrożenie próbowało wykorzystać aplikację do obsługi poczty ofiary i za pomocą wiadomości e-mail przesłać wykradzione dane.
Stosując podobne techniki jak te wykorzystywane w tzw. operacji Buhtrap (jej celem była kradzież danych niezbędnych do logowania się do internetowych rachunków bankowych), autorzy tego ataku posłużyli się metodą rozsyłania maili z zainfekowanymi załącznikami. Jak można uchronić się przed podobnymi atakami? Eksperci z firmy ESET radzą, by firmy położyły szczególny nacisk na edukację i szkolenia pracowników wyjaśniające zasadę działania tego typu ataków. Świadomy zagrożeń personel szybciej wykryje pułapkę i nie kliknie w złośliwy link lub zainfekowany plik przesłany w mailu. Dodatkowo poinformuje o pułapce administratora i swoich współpracowników, przez co zapobiegnie dalszemu rozprzestrzenianiu się zagrożenia w firmie. Po szkoleniu warto również wesprzeć pracownika odpowiednim systemem zabezpieczającym jego komputer lub urządzenie mobilne.
Szczegółowa analiza wspomnianego wyżej ataku została zaprezentowana przez ekspertów z firmy ESET podczas konferencji Copenhagen Cybercrime Conference 2016.