การโจมตีระลอกใหม่ของโทรจันใช้เทคนิคฟิชชิ่งในการขโมยข้อมูลธนาคารของผู้ใช้ ทั้งนี้ BanKey.A และ BankFake.A นับเป็นโทรจันรายล่าสุด โดยในการทำงาน ทั้งคู่จะแสดงหน้าเว็บที่ดูเหมือนหน้าเว็บของธนาคารออนไลน์ เพื่อลวงให้ผู้ใช้ป้อนหมายเลขบัญชีและรหัสผ่าน อย่างไรก็ตาม เมื่อผู้ใช้ป้อนข้อมูลดังกล่าว ระบบจะส่งข้อมูลไปยังผู้สร้างโทรจัน

“ ภัยจากโทรจันนี้เกิดจากการที่โทรจันอาจถูกดัดแปลงให้ใช้กับธนาคาร รูปแบบการชำระเงิน หรือคาสิโนออนไลน์ต่างๆ ได้โดยง่าย ”



และเพื่อมิให้เป็นที่สงสัย ทันทีที่ผู้ใช้ป้อนข้อมูล โทรจันจะแสดงข้อความเตือนข้อผิดพลาดชั่วคราวขึ้น จากนั้น BankFake .A จะนำผู้ใช้ไปยังเว็บของธนาคารที่แท้จริงซึ่งผู้ใช้สามารถป้อนข้อมูลซ้ำอีกครั้ง ด้วยวิธีการดังกล่าวนี้ ผู้ใช้จึงไม่ตระหนักถึงภัยคุกคามดังกล่าว

ข้อมูลที่ขโมยได้จะถูกส่งไปยังผู้ผลิตมัลแวร์โดยทางอีเมล์ โทรจัน BankFake.A จะเชื่อมต่อไปยังพอร์ต 465 ผ่านโปรโตคอล SMTP ที่มีการรักษาความปลอดภัย และส่งข้อมูลที่มีการเข้ารหัสเพื่อป้องกันการเข้าถึงข้อมูล ในขณะที่โทรจัน BanKey.A จะส่งข้อมูลไปยังบัญชี Gmail โดยใช้เทมเพลตที่สร้างขึ้นจากในตัว

“ มัลแวร์ประเภทนี้ทำประโยชน์ให้เหล่าอาชญากรได้มากเมื่อเทียบกับการโจมตีแบบฟิชชิ่งเดิมๆ ประการแรกคือ ง่ายกว่า เนื่องจากผู้สร้างมัลแวร์ไม่ต้องเช่าบริการโฮสติ้งเพื่อเก็บหน้าเว็บจำลอง เมื่อไม่มีเว็บโฮสติ้ง ก็ไม่มีโอกาสที่จะถูกตรวจจับ และความสำเร็จของตนก็ไม่ขึ้นกับผู้ให้บริการภายนอก ”

ลักษณะร่วมของมัลแวร์ทั้งคู่คือ การติดตั้งเข้าสู่คอมพิวเตอร์โดยใช้ปุ่มลัดที่เป็นสัญลักษณ์ของ Windows Internet Explorer

ทั้งคู่สามารถเข้าสู่ผู้ใช้เป้าหมายได้โดยทางไฟล์แนบอีเมล์หรือผ่านเข้ามาจากการดาวน์โหลดทางอินเทอร์เน็ต อย่างไรก็ตาม การดาวน์โหลด BankFake.A เข้าสู่ระบบจะกระทำโดยโทรจัน Downloader.OPY