Вместо игры пользователь получает несколько файлов, предназначенных для автоматизации распространения вредоносной рекламы на видеоплатформе.
Мошенническое ПО замаскировано под копии популярных гейминговых проектов, таких как CrossFire, Farming Simulator, FIFA 22, Final Fantasy, Lego Star Wars. Вместо обещанных читов или копий жертва мошенников скачивает самораспаковывающийся архив с исполняемыми файлами и скриптами.
После скачивания автоматически запускается RedLine, майнер и AutoRun.exe, копирующий себя в системную папку. В файле содержится два скрипта, активирующих MakiseKurisu.exe, download.exe и upload.exe, которые обеспечивают дальнейшее распространение бандла.
Окна и иконки вредоносных программ скрываются от пользователя с помощью утилиты nir.exe. MakiseKurisu - программа, написанная на С и предназначенна для похищения паролей.
Инфостилер изымает cookie из браузера и сохраняет их в отдельном файле. Похищенные данные никуда не отправляются, но используются для получения доступа к учётке на YouTube.
