I 2 file chm in altrettanti allegati rar contattano un url (diverso ogni file) e scaricano uno script, che contiene il malware. I dati sono rubati via ftp.
L’allegato gz della mail, proveniente in teoria da un’azienda italiana, contiene un file exe: il malware stesso. I dati rubati sono esfiltrati via ftp.