Pati sistema nėra kažkuo nauja ar ypatinga. Kenkėjiški dokumentai yra persiunčiami didelių bendrovių darbuotojams užkrėstuose el. laiškuose. Kaip ir kitais atvejais, tai dažniausiai būna „docx“ formato bylos, kuriose yra įrašytas specialus HTML kodas su kenkėjiškais elementais. Paleidus į kompiuteryje virusas aktyvuojasi ir įrašo naują kenkėjišką sistemą operacinės sistemos viduje – programinį kodą „FormBook“.
„FormBook“ yra kenkėjiškas algoritmas, kuris gali perduoti programišiams didelę kompiuterio funkcionalumo dalį: bylų nuskaitymą, slaptažodžių perėmimą, įvairių programų paleidimą ir t.t.
Šios naujos išpuolių bangos ypatumas yra tas, kad norint aktyvuoti kenkėjišką kodą nėra reikalingas „macro“ kodo panaudojimas. Nuotolinio kodo aktyvavimo spraga, kurią naudoja piktavaliai, vadinasi CVE-2017-8570, ji veikia objektų apdorojimo kompiuterio atmintyje procesuose.
Kibernetinis išpuolis yra nukreiptas į JAV korporacijas ir Artimųjų Rytų bendroves. Specialistai įtaria, kad šis mechanizmas – programišių „Cobalt“ (taip pat vadinamų „Carbanak“ ir „Anunak“) darbas, nes tokio pobūdžio finansiniai nusikaltimai yra laikoma jų braižu.
