Sobald das Dokument geöffnet ist, speichert das Auto-Download-Skript den Schadcode. Der Code führt sich dann automatisch selbst aus, um seine beabsichtigte Aufgabe auszuführen. Anschließend lädt der in das System eingespeiste Code eine JPG-Bilddatei herunter, die wie der vom Webb-Teleskop aufgenommene Schnappschuss aussieht. Die Analyse des Bildes mit einem Texteditor zeigt jedoch, dass sich darin tatsächlich ein Base64-Code verbirgt, der selbst versucht, einen Verdacht zu vermeiden, indem er sich als legitimes Zertifikat ausgibt. Dies ist eigentlich die Nutzlast, die sich in ein 64-Bit-Skript verwandelt, das bereit ist, ausgeführt zu werden und Schaden zu verursachen.
Was die Bedrohungsstufe hier wirklich erhöht, ist die Tatsache, dass der bösartige Base64-Code an „allen Antiviren“-Systemen vorbeigeht, ohne einen Bedrohungsalarm auf Systemebene auszulösen, sagt Securonix. Mehrere Ebenen der Codierung und Verschleierung werden für die ausführbare Nutzlast verwendet, um der Erkennung zu entgehen. Sobald die Payload ausgeführt wird, verbindet sie das Zielsystem mit einem entfernten Server und überlässt den PC der Gnade eines Hackers. Sobald eine Verbindung hergestellt ist, werden verschlüsselte Datenpakete an den Hacker gesendet.
Securonix merkt an: „Diese Praxis kann verwendet werden, um entweder einen verschlüsselten Kanal für Befehl und Kontrolle einzurichten oder sensible Daten zu exfiltrieren.“ Darüber hinaus trickst die Malware den Run-Schlüssel der Windows-Registrierung aus und wird dauerhaft, was bedeutet, dass ein Neustart den bösartigen Code nicht entfernt. In diesem Stadium liegt es an den Fähigkeiten und Absichten des Angreifers, Belästigungen durchzuführen, die von der Remote-Systemübernahme zur Erpressung von Lösegeld bis hin zum Datendiebstahl und Spionage reichen.