Na pierwszy rzut oka wiadomości z Zary o tytule "DOSTARCZENIE ZAMÓWIENIA DO SKLEPU - ZAŁĄCZONY PARAGON ELEKTRONICZNY” wydają się być prawdziwe. Nie ma w nich błędów językowych, a wszystkie linki w treści są poprawne. Podejrzeń nie budzi również adres mailowy, z którego pochodzi wiadomość. Znalazło się nawet poprawne logo sklepu internetowego Zara.com.
Tymczasem jak informuje serwis Zaufana Trzecia Strona, załącznik do wiadomości (rzekomo zawierający paragon) kryje w sobie złośliwe oprogramowanie. Sytuację dodatkowo pogarsza fakt, że filtr antyspamowy Gmaila nie wykrywa w nim potencjalnego zagrożenia i nie blokuje jego uruchamiania.
Po analizie kodu z załącznika okazuje się, że mamy do czynienia z tym samym niebezpiecznym trojanem o nazwie vjw0rm, który poprzednio ukrywał się w fałszywych wiadomościach pod postacią faktur operatora komórkowego Play.
Daje on atakującemu możliwość pobrania dodatkowego oprogramowania, w tym również takiego, które szyfruje dane na twardym dysku i żąda od nas okupu (ransomware).