После загрузки троян регистрирует задачу, которая настроена на выполнение скрипта PowerShell. Этот скрипт отвечает за загрузку и выполнение скрипта следующего этапа, полученного с удалённого сервера.

Вредоносное ПО изменяет реестр Windows для принудительной установки расширений из Chrome Web Store и Microsoft Edge Add-ons, которые способны перехватывать поисковые запросы в Google и Microsoft Bing и перенаправлять их через контролируемые злоумышленниками серверы.

Расширения не могут быть отключены пользователем, даже если включен режим разработчика. Более новые версии скрипта также удаляют обновления браузера. Кроме того, троян запускает локальное расширение, которое загружается непосредственно с сервера управления и контроля (C2) и обладает обширными возможностями для перехвата всех веб-запросов и отправки их на сервер, получения команд и зашифрованных скриптов, а также внедрения и загрузки скриптов на все страницы.

Вредоносное ПО также перехватывает поисковые запросы из Ask.com, Bing и Google и направляет их через свои серверы, а затем в другие поисковые системы.

Эта кампания напоминает другую, обнаруженную в декабре 2023 года, когда компания по кибербезопасности подробно описала троянский установщик, распространяемый через торренты. Этот установщик также устанавливал вредоносные веб-расширения, маскирующиеся под приложения VPN, но предназначенные для запуска «взлома кэшбэк-активности».