Майнер был «спрятан» в настольных версиях переводчика Microsoft Translator и музыкального приложения YouTube Music.
Обе программы были выложены на ресурсе Softpedia для бесплатного скачивания. Никто из пользователей не обратил внимание на тот факт, что у вышеперечисленных сервисов нет настольных версий. Они были созданы турецким разработчиком Nitrokod.
Хакер использовал отсрочку запуска вредоносного майнера на компьютер, что значительно усложнило его обнаружение. Программа после запуска также удаляла следы своей установки, чтобы ее было невозможно связать со скачиванием зараженных приложений.
Скрытый майнинг Monero нельзя было обнаружить штатными средствами защиты и антивирусами. Chek Point пока не удалось выяснить стоящих за массовым заражением хакеров. По свидетельству аналитиков кибербезопасности, работа с продуктом была настолько просто устроена, что со скрытым майнингом справился бы даже начинающий пользователь.