Attacken inleds med en installation av ett legitimt fjärrhanteringsprogram som utger sig för att vara en Java-installation. Efter installationen har angriparen full tillgång till systemet och kan ladda upp och ner filer och även köra skript. Angriparen laddar upp och kör några skript som i sin tur laddar ner fler skript. Den tillagda informationen laddar ner och kör ZLoader som stjäl privat information såsom cookies och lösenord.
– Människor måste veta att de inte direkt kan lita på en fils digitala signatur. Av allt att döma verkar det som om personerna bakom ZLoader lägger stor kraft på att komma runt säkerhetsskydd och fortfarande uppdaterar sina metoder varje vecka. Jag uppmanar användare att tillämpa Microsofts uppdatering för strikt verifiering av Authenticode, som inte tillämpas som standard, säger Kobi Eisenkraft, malware researcher hos Check Point Software Technologies.