После попадания в компьютер вирус скачивает данные определенной страницы с сервиса для открытой публикации текста или кода Pastebin. После этого троян собирает данные из определенного Twitter-аккаунта и ищет там изображения. Найдя мем, который начинается со скрытого символа «/», троян выполняет команду, отсылая данные на сервер злоумышленников.
В сервисе Pastebin специалисты по киберзащите нашли локальный адрес, а также скрытую команду «/print», после которой программа делает скриншот экрана. Специалисты отмечают: вероятно, хакеры пока разработали тестовую версию трояна, с помощью которого изучают возможность взлома устройств при скрытых командах в мемах.
В кодах мемов также были обнаружены команды «/processos» — сбор информации о запущенных процессах в компьютере, «/docs» — запись имен файлов в определенной директории, «/clip» — сбор данных из буфера обмена, а также «/username» — запись имени пользователя компьютера.
Хакерам удалось создать этот вирус благодаря тому, что обычные антивирусы не мешают выполнению таких команд, поскольку считают их процессом взаимодействия пользователя с социальными сетями.