Primer phishing sporočila. Vir: Microsoft
Nekatera sporočila so vsebovala povezavo s klikabilnim naslovom, denimo Trump objavil nove dokumente o volilni prevari, po kliku se je uporabnik sprva našel na dejanskem strežniku z imenom Constant Contact service USAID, od koder so ga nato preusmerili na strežnik Nobelliuma, kjer je skupek kode v JavaScriptu prenesel in pognal zlobno kodo in v sistem prenesel ISO datoteko. Ta je vsebovala PDF datoteko, LNK datoteko z imenom Reports in skrito datoteko DLL. Ko je uporabnik kliknil na Reports, se mu je za krinko odprla PDF datoteka, v ozadju pa je DLL namestil backdoor NativeZone, prek katerega so napadalci dobili nadzor nad sistemom. Ta je omogočal praktično vse, od kraje podatkov, do širjenja okužbe na druge računalnike v sistemu.
Preiskovalci so v sporočilih naleteli na štiri nove družine malwara, HTML priponko z imenom EnvyScout za krajo poverilnic Windows računov, modul za prenos oz. downloader BoomBox, zaganjalnik oz. loader NativeZone in modul za prenos in zagon zlobne kode za povezavo s command&control strežnikom VaporRage. Več podrobnosti o napadih in uporabljenih orodjih je Microsoft objavil tukaj.
Iz varnostnega podjetja FireEye pa so sporočili, da je ob napadih pod masko USAID potekalo še nekaj drugih kampanj, ki so uporabljala drugačne vabe, denimo diplomatska sporočila in vabila posameznih veleposlaništev, denimo belgijskega.
