Атака начинается с рассылки по электронной почте модифицированной версии вируса Qbot. Запуск вредоносного кода происходит после того, как жертва распакует ZIP-архив и откроет ISO-файл. Далее, используя динамически подключаемые библиотеки (DLL), вирус создает клон приложения "Калькулятор".
Как отмечает SC Magazine, "Калькулятор" является доверенным приложением в Windows 7, поэтому защитные механизмы ОС не видят в нем угрозы. Попав в систему, вирус начинает собирать персональные данные с компьютера, среди которых могут оказаться паспортные данные и пароли к банковским аккаунтам.
Эксперты рекомендуют пользователям не открывать вложения к подозрительным письмам, особенно от неизвестных отправителей.
"Помогут хорошие средства защиты от фишинга, спама и вредоносных программ для электронной почты, — рекомендует Майк Паркин, старший технический инженер компании Vulcan Cyber. — Они могут снизить риск, но в конечном итоге все сводится к тому, что пользователи должны быть внимательнее к тому, что скачивают, когда открывают письмо".
Уязвимость присутствует только в Windows 7. Более новые версии ОС Microsoft, включая Windows 10, этому способу взлома не подвержены.