Experții cred că acest atac a fost planificat de către unul sau mai mulți autori, distribuind malware în masă, astfel încât botneții să poată fi apoi vânduți sau închiriați. Malware-ul se autodistribuie prin comenzile macros din documente Word manipulate, trimise atașate în e-mail-uri. În anumite cazuri, infractorii trimit o factură falsă a unor abonamente pentru mijloace de transport pe cale ferată. Soluțiile de securitate G Data detectează malware-ul și previne infecția.
Prin deghizarea malwareului într-o factură a unui abonament de tren, infractorii încearcă să deruteze utilizatorii. Beneficiarii sunt îndemnați să deschidă documentul Word atașat și să activeze comenzile macro. Odată ajuns pe calculator, malware-ul încearcă să-și mascheze acțiunile cu scopul de a construi un botnet. Infractorii cibernetici pot controla apoi sistemele infectate de la distanță, fără ca proprietarii să fie conștienti de asta.
