Исследование показали, что одни и те же хакеры, скрывались под тремя различными именами разработчиков: DigiDream, 1clean и Findoo.
Зараженные приложения содержали образовательный контент, что касался загрузки и размещения видео в Интернете, уроки по веб-серфингу, оптимизации параметров компьютера и ноутбука. После загрузки и запуска компьютер заражался вирусом, добывающем XMR с помощью кода Coinhive.
Майнер запускался в отдельном от браузера окне, через процесс WWAHost.exe и мог перехватывать до 100% мощности CPU. С помощью штатных антивирусов вредонос обнаружить невозможно, при отключенном интернете или без запущенного браузера характеристики компьютера приходили в норму.
Microsoft отказалась делиться данными о количестве зараженных пользователей, скрыв реальное число скачиваний и установок вредоносных программ.