У вкладенні листів знаходяться документи .docx які при відкритті завантажують за зовнішнім посиланням. Шкідливий виконуваний файл який зберігається в системі GdCvWYKodvy.bin, закріплюється за допомогою regsvr32.exe та запускається на виконання. Після закріплення в системі зловмисне ПЗ виконує ін’єкцію коду в системний процес.
Шкідливе програмне забезпечення розроблене для збору і викрадення інформації про систему, даних користувача із браузерів, поштових клієнтів, даних про крипто гаманців. За допомогою вкладених ole-обєктів, що містять шкідливий скрипт для завантаження із сервера webinsel.at виконуваного шкідливого файлу file.exe, що зберігається до директорії C:\Users\admin\AppData\Roaming\ і є екземпляром Raccoon stealer.
Розсилання з шкідливими js сценаріями, при виконанні якого відбувається перехід на зовнішнє посилання та відбувається завантаження шкідливого програмного забезпечення. Шкідливий файл перезапускається як .tmp, при цьому перевіряє ІР-адресу комп’ютера, додається в автозавантаження, завантажує інструкції для зашифрованого комп’ютера, зашифровує файли користувача.