Vo svojej mailovej schránke môžete nájsť správy napríklad z adresy ccmw@railway.gov.bd, ktorej doména pripomína vládnu organizáciu v Bangladéši. Podvodný mail sa vydáva za urgentnú informáciu o prijatej platbe, čomu je príznačný aj predmet správy URGENT: Kópia avíza o došlej platbe. Útočníci sa snažia klientov vlákať do pasce, ktorou je príloha pripomínajúca dokument od banky. Jej názov môže byť napríklad payment_copy_tatra_banka.pdf.exe alebo payment_copy_vub_bank.pdf.exe. Dvojitou príponou končiacou .exe, prípadne .iso zneužívajú predvolené nastavenie mailových klientov, ktorí zobrazia iba prvú príponu (teda pdf) a podľa toho k súboru priradia aj ikonu.
Otvorením falošnej prílohy sa spustí downloader, ktorý sa pokúsi pripojiť na adresu so škodlivým obsahom. Odtiaľ sa následne na zariadenie obete stiahne a spustí známy spyvér AgentTesla. Tento škodlivý kód slúži na krádež informácií, čomu zodpovedajú aj jeho funkcie, keďže sa zameriava na zber prihlasovacích údajov, sledovanie stlačení klávesnice (keylogging) či vyhotovovanie snímok obrazovky obete. AgentTesla sa šíri už roky a jeho autori ho pravidelne aktualizujú o nové schopnosti, vďaka ktorým sa vyhýba detekcii bezpečnostnými softvérmi.
