Napadači na za sada nepoznat način uspijevaju na daljinu ući u postavke routera marki Linksys i D-Link (moguće je da to čine pogađanjem lozinke). Nakon toga mijenjaju DNS zapise i tako "otimaju" promet kada korisnici pokušavaju preko napadnutog routera pristupiti Internetu.

Korisnike novi DNS zapisi potom preusmjeravaju na stranice koje im navodno nude informacije o bolesti COVID-19 i nude im instaliranje maliciozne aplikacije "COVID-19 Inform App" ili "Emergency - COVID-19 Informator" koje je navodno izradila Svjetska zdravstvena organizacija (WHO).

Žrtvama koje povjeruju ovim informacijama i zaista preuzmu neku od ovih aplikacija na kompujer se instalira trojanac Oski namijenjen krađi podataka. Podaci na udaru su najčešće oni koji se koriste za autorizaciju plaćanja, lozinke, walleti za kriptovalute, kolačići, povijest i podaci iz formulara (autofill) u preglednicima i slični. Svi pokradeni podaci šalju se na udaljeni server odakle ih napadači mogu preuzeti i nastaviti napadati korisnika korištenjem njegovih podataka za pristup raznim servisima.