Söz konusu e-posta mesajları ve WhatsApp'tan gelen mesajlarda MS Office 97-2003 dosyalarını ekinde barındırıyor ve kullanıcıları makroları aktif hale getirmeye zorluyor. Hemen arkasından bulaşma gerçekleşiyor.
Saldırganların kullandıkları PowerShell, VBS, VBA, Python ve C# scriptleri, RAT (Remote Access Trojans – Uzaktan Erişimli Truva Atı) ve diğer araçlara dair analizler sürüyor.
Enfeksiyon gerçekleştiğinde zararlı yazılım, beraberindeki listede yer alan internet adreslerinden birini seçerek komuta merkeziyle iletişime geçiyor.
Sistemde güvenlik yazılımı olduğunu algılarsa bir dizi script çalıştırıyor ve son bir PowerShell paketiyle sistemde suistimale açık bir arka kapı bırakıyor.
