Theo Cyradar, khi người dùng bị đánh lừa mở file và bật tính năng macro trong file văn bản thì mã độc hại đính kèm đã âm thầm tải xuống thiết bị và tự động kích hoạt. Mã độc này có nhiệm vụ kết nối và nhận dữ liệu đã mã hóa từ máy chủ, sau đó tiến hành giải mã và load dữ liệu lên bộ nhớ, cuối cùng thực thi các hành vi độc hại tương ứng.
Tại thời điểm phân tích, mã độc thực hiện lấy dữ liệu đã mã hóa tại URL hxxps://remainsproperty[.]com/yadjuzaurhedyo, sau quá trình giải mã, phân tích nhận thấy đây là một file .DLL có hành vi kết nối, nhận dữ liệu từ máy chủ điều khiển rồi thực thi tùy ý mã độc hại khác từ máy chủ điều khiển đẩy xuống.
Theo Cyradar, đây là loại mã độc tinh vi vì mã độc không được đóng gói thành một file như các loại mã độc thông thường mà nó nhận dữ liệu mã hóa từ máy chủ điều khiển rồi giải mã, thực thi ngay trên bộ nhớ. Điều này sẽ làm các phần mềm diệt virus khó có thể mà phát hiện được.
“Nếu bạn là một nhân viên ngân hàng, cần hết sức lưu ý trước khi mở một file văn bản được gửi đến cho mình mà bạn không thực sự hiểu lý do xuất hiện của nó, đặc biệt là trong những ngày này, khi thế giới đang ghi nhận một chiến dịch tấn công rộng khắp nhắm tới các ngân hàng và tổ chức tài chính”, Cyradar đưa ra khuyến cáo.