Według CERT atak rozpoczynał się od wysłania wiadomości e-mail bardzo przypominającej powiadomienie z serwisu Allegro.pl. Dotyczyło ono zakupu poprzez „Kup Teraz” komputera Asus G750. E-maile trafiały do internautów niezależnie od tego, czy byli oni użytkownikami serwisu i czy nie. Wiadomość zawierała dwa odnośniki – do rzekomej faktury oraz do aukcji. Oba prowadziły do pliku, wyglądającego na PDF o nazwie zakończonej .pdf.exe. Jego uruchomienie rzeczywiście otwierało plik, który wyglądał jak faktura. Jednak równocześnie uruchamiany był złośliwy program, który miał za zadanie generowanie bitcoinów, wykorzystując moc obliczeniową procesora.

Bitcoin jest tzw. kryptowalutą, którą można anonimowo płacić w sieci. Został wprowadzony w 2009 roku. Ostatnio jego kurs przekroczył 600 dol. Ilość udostępnionej mocy obliczeniowej wpływa na wytworzenie nowych bitcoinów – im więcej komputerów pracuje na rzecz danego użytkownika sieci, tym większe ma on szanse na otrzymanie kryptowaluty.