這一發現來自安全公司趨勢科技（Trend Micro），它表示，惡意軟件作為Windows Installer MSI文件到達受害者的計算機上，這是值得注意的，因為Windows Installer是用於安裝軟件的合法應用程序。使用真正的Windows組件使其看起來不那麼可疑，並可能允許它繞過某些安全過濾器。

黑客的詭計並不止於此。研究人員指出，一旦安裝，惡意軟件目錄包含充當誘餌的各種文件。除此之外，安裝程序還附帶了一個腳本，可以殺掉在受害者電腦上運行的任何反惡意軟件進程，以及受害者自己的加密貨幣挖掘模塊。

研究人員還觀察到，惡意軟件具有內置的自毀機制，使檢測和分析更加困難，它會刪除其安裝目錄下的每個文件，並刪除系統中的任何安裝痕跡。雖然趨勢科技還無法將攻擊鏈接定位到特定國家/地區，但它注意到安裝程序使用了西里爾語。平心而論，西里爾語似乎在加密貨幣罪犯中非常受歡迎。