A támadók helyi kórházak nevében küldenek e-maileket, amelyekben azt állítják, hogy a címzett érintkezett egy olyan kollégával, baráttal vagy családtaggal, akinél kimutatták a koronavírus-fertőzést. Ezért arra kérik a felhasználót, hogy a mellékelt űrlap kitöltése és kinyomtatása után, fáradjon be a legközelebbi kórházba a tesztek elvégzéséhez.
Ha valaki óvatlanul megnyitja a mellékletként küldött "EmergencyContact.xlsm" táblázatot, és rákattint a Tartalom engedélyezése gombra, rosszindulatú programot letöltő és futtató makrók indulnak el az áldozat százmítógépén.
A malware egyrészt felderíti a megtámadott rendszert (könyvtármegosztások, telepített programok), másrészt kriptopénztárcákat (kriptopénzek tárolására szolgáló program) és a böngészők által elmentett sütiket próbál megszerezni, ezért a bejelentkezési adatok is veszélybe kerülhetnek.
A járvány ideje alatt különösen nagy óvatossággal kell kezelni a koronavírussal kapcsolatos leveleket, és egyáltalán nem ajánlott megnyitni a csatolmányokat, ajánlja a kibervédelmi intézet.