A PowerWare névre hallgató új zsarolóprogram a Carbon Black biztonsági cég kutatói fedezték fel: rosszindulatú makrókkal megfertőzött Word-dokumentumokat tartalmazó adathalász e-mailekkel terjesztik, ami egy egyre inkább terjedő támadási módszer. A Carbon Black egy ügyfelénél találkozott a veszélyes vírussal: a fertőző Word-dokumentumot a hackerek számlának álcázták. Amikor a címzett megnyitotta, arra kérte őt a dokumentum, hogy engedélyezze a szerkesztést és a tartalmat a Wordben, azt állítva, hogy a megtekintéshez szükség van erre a lépésre. Valójában a szerkesztés engedélyezése kikapcsolja a Word előzetes megtekintő sandboxát, a tartalom engedélyezése pedig lehetővé teszi a beágyazott makrók futtatását, amit az Office alaphelyzetben blokkol.
Ha a rosszindulatú makró elindul, megnyitja a Windows parancssorát (cmd.exe) és két példányban futtatja a PowerShellt (powershell.exe). Az egyik példány letölti a PowerWare zsarolóprogramot egy PowerShell szkript formájában, a másik példány pedig futtatja a szkriptet. A szkript generál egy titkosító kulcsot, amellyel titkosítja a dokumentumokat, képeket, videókat és archív fájlokat, a kulcsot elküldi a támadók szerverére, végül létrehoz egy HTML-formátumú váltságdíjkérő üzenetet. A kezdeti összeg 500 dollár, amely az idő elteltével 1000 dollárra emelkedhet.
