این کمپین به‌طور عمده کاربران برزیلی را هدف قرار می‌دهد. مهاجمان از هرزنامه‌های (spam)مخربی استفاده می‌کنند که حاوی پیام‌هایی به زبان پرتغالی است و سعی می‌کند قربانی را متقاعد سازد که یک پیوست HTML مخرب را که به‌صورت صورت‌حساب نمایش داده می‌شود، باز کند. دریافت پست الکترونیکی به زبان مادری باعث می‌شود تا مهاجمان با احتمال بیشتری به هدف خود برسند. فایل HTML، شامل یک آدرس اینترنتی است که ابتدا به آدرس goo.gl و سپس به یک آرشیو RAR حاوی یک فایل JAR هدایت می‌شود. با توجه به گزارش وب‌سایت مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) اگر کاربر دو بار روی فایل JAR کلیک کند، جاوا کد مخربی را اجرا و شروع به نصب تروجان بانکی خواهد کرد.

کد جاوا ابتدا محیط کاری بدافزار را راه‌اندازی می‌کند، سپس فایل‌های اضافی را از یک کارگزار از راه ‌دور دانلود می‌کند. هنگامی که باینری‌ها با کد جاوا دانلود شدند، نام آنها به باینری قانونی VMware تغییر داده می‌شود و این باینری قانونی را VMware اجرا می‌کند. به این ترتیب برنامه‌های امنیتی فکر می‌کنند که VMware کتابخانه‌های قابل اعتمادی را استفاده کرده است. یکی از این کتابخانه‌ها، فایل مخربی به نام vmwarebase.dll است که برای تزریق و اجرای کد در Explore.exe و notpad.exe استفاده می‌شود. ماژول اصلی (کد برنامه‌نویسی‌شده) این تروجان بانکی برای پایان ‌دادن به فرآیندهای ابزار تجزیه و تحلیل و ایجاد کلید رجیستری خودکار، طراحی شده است.