Nguồn tin từ Guardio Labs cho biết, hacker gửi và dụ dỗ nạn nhân mở những file nén zip hoặc rar qua Facebook Messenger. Sau khi được thực thi, mã độc sẽ tải các mã phá hoại từ Github về và ăn trộm các cookie, từ đó chiếm đoạt các tài khoản internet như tài khoản mạng xã hội, email...
Sau khi chiếm đoạt các tài khoản này, đặc biệt là tài khoản facebook, hacker có thể tiếp tục sử dụng nick của nạn nhân để chat với bạn bè trong danh sách để tiếp tục lan truyền mã độc.
Nhà phân tích Oleg Zaytsev của Guardio Labs nói rằng sở dĩ họ phát hiện ra nhóm hacker đến từ Việt Nam là do có những chữ tiếng Việt trong mã nguồn của file (Thu Spam lần thứ) cũng như chữ "Cốc Cốc", một trình duyệt dựa trên Chrome chỉ có mặt ở quốc gia này.
Bình luận về vấn đề này, chuyên gia Nguyễn Ngọc Sơn, Giám đốc kỹ thuật của Công ty CP Công nghệ An ninh mạng Việt Nam (NCS), thành viên của Hiệp hội An ninh mạng Quốc gia, nói rằng hình thức tấn công này không mới, thậm chí tại Việt Nam đã từng chứng kiến những loại mã độc phát tán qua Yahoo Messenger từ năm 2006. Tuy nhiên, mức độ lan truyền của loại mã độc này là theo cấp số nhân vì từ một nạn nhân sẽ tiếp tục lan truyền ra nhiều nạn nhân khác trong danh sách bạn bè.
Chuyên gia của NCS khuyến cáo người dùng cần hết sức cảnh giác, tuyệt đối không nên mở luôn các file .zip và .rar cho dù được gửi từ danh sách bạn bè của mình. Cần xác nhận lại với người gửi qua một kênh khác (như gọi điện) để đảm bảo chắc chắn file đó là của bạn mình gửi trước khi mở file.