Een Trojaans paard dat gegevens voor fraude met internetbankieren steelt en zich eerder nog via macro's in Word-documenten verspreidde gebruikt nu een nieuwe tactiek, namelijk een kwaadaardig vbs-script. Via social engineering wordt geprobeerd om gebruikers dit script te laten openen.

De aanval begint met een e-mail die claimt een rekening te bevatten. Als bijlage is een docx-bestand meegestuurd. Zodra de gebruiker dit bestand opent verschijnt er een melding die de aanvallers hebben toegevoegd dat er op het "Word-bestand" in het Word-bestand moet worden geklikt. In werkelijkheid is dit het kwaadaardige vbs-script. Zodra de gebruiker dit script, wat op het eerste gezicht een Word-document lijkt, aanklikt laat Word een melding zien of de gebruiker het vbs-script wil openen. Als de gebruiker ook hiermee akkoord gaat wordt uiteindelijk de Dridex banking Trojan geïnstalleerd. De malware nestelt zich in de browser en wordt actief zodra de gebruiker bepaalde banksites bezoekt, zo laat het Duitse anti-virusbedrijf G Data weten.