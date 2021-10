Jak opisuje ZDNet , scenariusz pobierania szkodliwego pliku jest nieco inny niż zazwyczaj. Zainfekowany dokument nie jest sam w sobie załącznikiem e-maila. Jest nim plik, który dopiero skłoni użytkownika do odwiedzenia fałszywej strony logowania OneDrive'a lub SharePointa, gdzie pobierze plik Excela, którzy przez badaczy zwany jest "uzbrojonym". W praktyce chodzi o zaszyte w nim makra.

Co ciekawe, w tym przypadku kod można wykonać jedynie w 32-bitowych wersjach pakietu Office, przez co grono zagrożonych odbiorców kampanii jest siłą rzeczy ograniczone. Makro sprowadza się w tym przypadku do wykonania skryptu, który omija zabezpieczenia związane z "piaskownicą". Finalnie pobierany i instalowany jest zainfekowany pakiet MSI.