После открытия документа на экране отображался бессмысленный набор символов и предупреждение о неправильной кодировке. Для решения проблемы пользователю предлагалось дважды кликнуть на уведомление. Двойной клик запускал файл .DIAGCAB, содержащий набор PowerShell скриптов, загружающих и устанавливающих на компьютер жертвы троян LatentBot.
Как отмечают эксперты, функционально вредоносные макросы и используемые злоумышленниками скрипты "диагностики" практически не отличаются, так как оба позволяют атакующим выполнить серию операций на целевом компьютере. Разница заключается в том, что установленные на устройстве антивирусные решения отслеживают вредоносное ПО, которое может быть загружено вредоносными макросами, тогда как скрипты диагностики по большей части остаются незамеченными.
Платформа Windows Troubleshooting Platform представляет собой средство для выполнения специальных модулей (Troubleshooting Packages), которые создаются на языке PowerShell и призваны решать различные проблемы, касающиеся конфигурации операционной системы, ее отдельных компонентов, устройств, сервисов и приложений.