Злоумышленники предлагали пользователям установить программу-клиент, аналог MetaMask для работы со всеми токенами Ethereum, остальные вредоносные приложения работали с NEO и Tether.
Антивирус не реагировал на программное обеспечение, так как внутри не содержался вирус, хакеры заранее создавали набор адресов, оставляя у себя секретные ключи. Пользователь генерировал новый адрес, который представлял собой фишинговую копию, доступ к которой был только у злоумышленников. Таким образом, после перечисления средств хакеры становились единственными их владельцами, потерпевший видел баланс, но не имел право совершения сделок.
Новый скрытый майнер получил название WebCobra, который заставляет на зараженный компьютер добывать одну из разновидностей «анонимных» криптовалют – Zcash или Monero, это зависит от конфигурации системы. Программа решает самостоятельно, какой из процессоров задействовать для скрытой добычи – CPU или GPU, последний используется для майнинга ZCash.