这一发现来自安全公司趋势科技（Trend Micro），它表示，恶意软件作为Windows Installer MSI文件到达受害者的计算机上，这是值得注意的，因为Windows Installer是用于安装软件的合法应用程序。使用真正的Windows组件使其看起来不那么可疑，并可能允许它绕过某些安全过滤器。

黑客的诡计并不止于此。研究人员指出，一旦安装，恶意软件目录包含充当诱饵的各种文件。除此之外，安装程序还附带了一个脚本，可以杀掉在受害者电脑上运行的任何反恶意软件进程，以及受害者自己的加密货币挖掘模块。

研究人员还观察到，恶意软件具有内置的自毁机制，使检测和分析更加困难，它会删除其安装目录下的每个文件，并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区，但它注意到安装程序使用了西里尔语。平心而论，西里尔语似乎在加密货币罪犯中非常受欢迎。