Para penyerang mencoba menghindari menimbulkan kecurigaan. Tapi, mereka juga mencoba menghindari program antivirus. Para peneliti mengatakan, fitur pemindaian otomatis beberapa program antivirus tak memindai file berbahaya itu.
File-file yang dihosting di layanan penyimpanan cloud 4sync.com, kata para peneliti, menambahkan semua penginstal palsu dalam kampanye ini telah dihosting di sana. Hal ini mengisyaratkan mekanisme pertahanan yang baik mungkin memblokir akses ke layanan ini sepenuhnya.
Dalam kampanye baru, berbagai jenis malware didistribusikan. Para peneliti melihat kampanye terbesar menggunakan pendekatan pengiriman ini untuk menyebarkan trojan IcedID, tapi Vidar infostealer, BatLoader, dan Rhadamanthys Stealer.