Theo Kaspersky Lab, kẻ tấn công sử dụng kỹ thuật social engineering để lừa nạn nhân nhấp vào liên kết video được gửi từ một trong những người bạn trên Facebook của họ, tin nhắn có dạng: Tên bạn bè + Video + liên kết bit.ly.
Hiện vẫn chưa rõ ràng cách lây lan, nhưng các nhà nghiên cứu cho rằng kẻ tấn công sử dụng các tài khoản Facebook bị hack, các trình duyệt bị tấn công, hoặc các kỹ thuật clickjacking để phát tán liên kết độc hại. Mã độc này sử dụng rất nhiều các tên miền khác nhau để ngăn chặn sự theo dõi và phát hiện.
Liên kết video sẽ chuyển hướng nạn nhân tới Google doc hiển thị hình thu nhỏ của video, như một bộ phim có thể phát được. Nếu người dùng click vào hình ảnh đó người dùng sẽ được chuyển hướng tới một trang đích độc hại, trang đích này sẽ được tùy chỉnh tùy thuộc vào trình duyệt và hệ điều hành của người dùng.
Ví dụ: người dùng Mozilla Firefox trên Windows được chuyển hướng đến một trang web hiển thị thông báo cập nhật Flash Player Update giả mạo và sau đó cung cấp tệp thực thi Windows, dưới dạng phần mềm quảng cáo.
Người dùng Google Chrome được chuyển hướng đến một trang web giả mạo YouTube với logo tương tự của YouTube. Trang web sau đó hiển thị thông báo lỗi giả mạo, lừa người tải xuống phần mở rộng Google Chrome độc hại từ Google Web Store. Phần mở rộng này thực chất là một trình downloader sẽ tải về một file từ kẻ tấn công vào máy tính nạn nhân. Tương tự với người dùng Apple Mac OS X Safari khi sử dụng Firefox, nhưng có chút tùy biến với bản cập nhật giả mạo cho Flash Media Player, nếu được nhấp vào, nó tải xuống tệp tin .dmg, đây cũng là phần mềm quảng cáo.
Tương tự trong trường hợp của Linux, người dùng chuyển hướng đến trang đích khác được thiết kế cho người dùng Linux.
Các chiến dịch Spam trên Facebook là khá phổ biến. Một thời gian trước đây, các nhà nghiên cứu đã phát hiện ra kẻ tấn công sử dụng mã độc Locky bằng cách sử dụng các tệp tin hình ảnh .JPG nhằm che dấu mã độc của họ để lây nhiễm cho người sử dụng Facebook, mã hóa tất cả các tệp trên máy tính bị nhiễm cho đến khi trả tiền chuộc.