По данным ресурса BleepingComputer, в теле письма, замаскированного под счет-фактуру, содержится пароль, который пользователю нужно ввести для того, чтобы открыть вложение. Прикрепленный файл включает еще три документа Word. При попытке открыть один из них появится диалоговое окно, запрашивающее разрешение на запуск файла VBScript. В случае, если согласие будет получено, запустится скрипт, который загружает DLL библиотеку в папку %AppData% и устанавливает кейлоггер Ursnif.
Запустившись на системе, Ursnif собирает информацию о нажатых клавишах, программах, которые открывает пользователь, созданных им файлах и данных, копируемых в буфер обмена Windows. Все собранные сведения отправляются на подконтрольный злоумышленникам сервер в сети Tor.