Skupina šířící bankovní malware začala zneužívat Facebook CDN pro distribuci svého zákeřného kódu. Výhodou totiž je, že Facebook je v mnoha sítích považován za důvěryhodný a je jen malá šance, že jeho domény budou zablokovány. Stejná skupina už v minulosti takto zneužívala Dropbox a Google Drive. V případě Facebooku je obsah nahrán do skupiny či jiné veřejně dostupné stránky. Pak útočníci použijí přímý odkaz.
Útok začíná podvodným mailem, který zdánlivě přichází od místního úřadu. Obsahuje odkaz vedoucí do CDN, ze kterého si pak uživatel stáhne ZIP či RAR obsahující zástupce aplikace pro Windows. Po spuštění pak proběhne řetězec skriptů a knihoven, který končí instalací malware. Zajímavé je, že útočníci při této proceduře kontrolují i IP adresu oběti a pokud není z cílové země, malware mu nenainstalují. V poslední kampani se například cílilo na Brazílii.