Theo các chuyên gia của CyRadar, cuộc tấn công khởi đầu bằng một email chứa file văn bản pdf đính kèm, được gửi tới một số nhân vật quan trọng của ngân hàng. Do mã độc hoàn toàn mới nên phần mềm diệt virus trên các máy tính của ngân hàng chưa thể phát hiện và xoá bỏ.
Khi người dùng bị đánh lừa để mở file pdf, lập tức mã độc hại chứa trong file thực hiện một loạt các hành động âm thầm để khéo léo tải xuống máy tính của nạn nhân một phần mềm gián điệp. Phần mềm này có nhiệm vụ đánh cắp dữ liệu trên máy tính, cho phép hacker điều khiển máy tính từ xa. Phần mềm gián điệp này còn có thể nghe lén được các cuộc gọi bằng âm thanh trên máy tính, cũng như sử dụng máy tính đó làm bàn đạp để tấn công sang các máy tính xung quanh.
Sau sự kiện tấn công vào một ngân hàng lớn, CyRadar liên tiếp phát hiện ra một số tổ chức khác cũng bị tấn công với hình thức tương tự. Tại thời điểm tấn công, hầu hết các hệ thống an ninh mạng đều bị đánh bại. Các phần mềm diệt virus trên thế giới không kịp nhận diện được mã độc này, các tường lửa cũng chưa thể ngăn chặn được các kết nối tới máy chủ điều khiển của mã độc.
Phần mềm gián điệp này, theo phân tích của CyRadar, là biến thể mới của FlawedAmmyy RAT (Remote Access Tool). Đây vốn là phần mềm gián điệp đang được nhắc đến nhiều trong các cuộc tấn công có chủ đính nhằm vào các ngân hàng trên thế giới một tháng trở lại đây. Đứng đằng sau nó là nhóm tội phạm mạng chuyên nghiệp chuyên tấn công vào các ngân hàng.
Các chuyên gia của CyRadar khuyến cáo, các nhân viên ngân hàng cần hết sức lưu ý trước khi mở một file văn bản được gửi đến cho mình mà không thực sự hiểu lý do xuất hiện của nó. Các chuyên gia CyRadar cho biết thêm, thời gian này thế giới đang ghi nhận một chiến dịch tấn công rộng khắp nhắm tới các ngân hàng và tổ chức tài chính.