Spakowany plik z załącznika, to plik wykonywalny exe, który działa jak downloader, który pobiera i uruchamia trojana Dyreza, znanego również, jako Dyre.
Pierwsze wzmianki o Dyre pochodzą z 2014 roku, kiedy to upodobnił się do innego znanego trojana – Zeus. Dyre instaluje się na komputerze użytkownika i staje się aktywny tylko wtedy, gdy użytkownik wprowadzi dane uwierzytelniające w określonym miejscu, np. na stronie logowania banku lub usługi finansowej. Poprzez atak man-in-the-browser (zainfekowaną przeglądarkę internetową) hakerzy wstrzykują złośliwy skrypt JavaScript, który pozwala ukraść poświadczenia i ukryciu manipulować kontami.
Badacze malware w Bitdefender ominęli szyfrowanie komunikacji między zainfekowanym komputerem a zbierającym skradzione informacje serwerem oraz zidentyfikowali strony internetowe, z których pobierano dane. Najbardziej narażeni byli klienci renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Niemiec, Danii, Australii, Rumunii i Francji.
[USA] Klienci: Bank of America, Citibank, Wells Fargo, JP Morgan Chase i PayPal mogli zostać narażeni na kradzież.
[UK] Klienci Barclays, Royal Bank of Scotland, HSBC, Lloyds Bank, Santander, mogli stać się ofiarą przekierowań hakerów.
[Niemcy] Deutsche Bank, Valovis Bank oraz klienci volkswagenbank.de mogli stracić swoje poświadczenia (logi/hasło) oraz pieniądze z kont.
[Australia] Hakerzy zaatakowali klientów Banku Melbourne i lokalnych jednostek ING, Citibank i HSBC.
Według laboratorium Bitdefender 19 tysięcy e-maili zawierających złośliwe oprogramowani zostało wysłane w ciągu trzech dni z serwerów spamu znajdujących się w Stanach Zjednoczonych, na Tajwanie, w Hong Kongu, Danii, Rosji, Chinach, Korei Południowej, Wielkiej Brytanii, Australii i kilku innych Państwach.
Producent oprogramowania Bitdefender, który wykrywa i blokuje zagrożenia, przypomina użytkownikom, aby nie klikali łączy w wiadomościach e-mail od nieznanych adresów e-mail oraz dbali o bieżącą aktualizację oprogramowania antywirusowego.
