وفقًا لـ Bleeping Computer، يستخدم مجرمو الإنترنت بشكل متزايد المنصات والقنوات القانونية لتوزيع برامجهم الضارة. في الوقت الحالي، يقدرون بشكل خاص إعلانات Google، شبكة إعلانات Google.
إن أسلوب خداع مستخدمي الإنترنت لتنزيل البرامج الضارة وتثبيتها هو نفسه دائمًا. ينشئ المتسللون نسخة متشابهة جدًا من موقع ناشر البرامج ويعرضون على زوارهم تنزيل أحد التطبيقات. غالبًا ما يكون هذا الأخير هو البرنامج الأصلي المزين بحصان طروادة الذي يقوم بتنزيل البرامج الضارة وتثبيتها بالتوازي. تم استهداف MSI Afterburner، برنامج تحسين الكمبيوتر الشخصي، من خلال مثل هذه الحملة.
طريقة عمل المتسللين معروفة جيدًا: تعتمد حملاتهم في الغالب على الكتابة المطبعية، وهي تقنية ينجذب بها مستخدمو الإنترنت إلى مواقع القرصنة التي تشبه عناوينها عناوين المواقع الأصلية باستثناء حرف واحد أو حرفين. من ناحية أخرى، تم تسريب القليل من المعلومات حول كيف وجد الضحايا أن هذه الروابط خاطئة .
يتم وضعها على كلمات رئيسية مثل Slack أو Brave أو Zoom أو μTorrent أو OBS أو TeamViewer أو Thunderbird أو Visual Studio. إذا نقر أحد المستخدمين عن طريق الخطأ على أحد هذه الإعلانات، فسيتم توجيهه أولاً إلى موقع غير ضار. تهدف هذه المناورة إلى خداع يقظة Google. يتم توجيه الزائر بعد ذلك إلى موقع يتم تشجيعه على تنزيل البرامج الضارة من مصدر موثوق به مثل Dropbox أو Github.