Kaspersky đã phát hiện ra chiến dịch trên , phát tán bằng những tài khoản Facebook theo dạng tin nhắn rác nhận được từ một người bạn thông báo cho người nhận về việc bị đề cập tới một bình luận nào đó .

Bấm vào đường link đính kèm là giai đoạn đầu tiên của cuộc tấn công hai giai đoạn để tải bí mật một Trojan vào máy tính của người dùng . Trong giai đoạn thứ hai , Trojan này được tải về và cài đặt bí mật một Extension vào trình duyệt  Chrome nếu nó tìm thấy trong hệ thống  bị lây nhiễm .

Extension của Chrome sẽ chờ cho tới khi người dùng  truy cập tài khoản Facebook một lần nữa , yêu cầu anh này chứng thực lại . Khi ấy Extension sẽ lấy được tên đăng nhập và mật khẩu của người dùng rồi gửi thông tin này tới máy chủ của tin tặc .

Tin tặc dùng thông tin đánh cắp được và ra lệnh cho những tài khoản này để Like và chia xẻ những nội dung tùy ý , cũng như là gửi thư rác để phát tán mã độc . Tin tặc đứng sau chiến dịch này đang bán Facebook Likes và Shares bằng Botnet của những thiết bị đã bị lây nhiễm .

Facebook đã được cảnh báo và họ đã triển khai những kỹ thuật để chặn việc phát tán mã độc . Google cũng đã gỡ bỏ Extension lừa đảo từ Chrome Web Store .

Theo dữ liệu của Kaspersky , nạn nhân của chiến dịch này hầu hết tại những nước như : Brazil , Ba Lan , Peru , Colombia , Mexico , Ecuador , Hy Lạp , Bồ Đào Nha , Tunisia , Venezuela , Đức và Israel .