Para chegar aos sistemas, os invasores estão atacando os roteadores de internet — os equipamentos que compartilham a internet entre vários dispositivos ou que criam as redes sem fio. De acordo com o site "Bleeping Computer", que analisou a fraude, os hackers trocam uma configuração no equipamento para controlar o DNS ("Domain Name System") da internet. Esse ajuste permite direcionar as páginas visitadas para sites falsos. Graças a essa mudança, uma página será aberta automaticamente em computadores com Windows. No site, será sugerida a instalação de um programa para se manter informado sobre a Covid-19. Esse código malicioso é programado para roubar diversas informações do sistema, incluindo senhas salvas, histórico de navegação, cookies (que dão acesso a redes sociais, por exemplo), carteiras de criptomoedas e outros arquivos. Ainda não se sabe ao certo como os hackers estão invadindo os roteadores para realizar a troca da configuração. Os equipamentos podem ser facilmente atacados se estiverem com senhas fracas e com o recurso de "administração remota" ligado. Após o ataque, é preciso realizar um "reset" do roteador, o que devolve o dispositivo ao estado de fábrica e normalmente vai exigir auxílio do provedor de internet para reconfigurar a conexão. Para se prevenir desses ataques, a recomendação é manter o roteador com o firmware atualizado e configurar uma senha forte para o painel de administração do dispositivo. Os passos para realizar esses ajustes variam conforme a marca e o modelo do roteador. Ataques semelhantes contra roteadores já foram registrados muitas vezes no passado, mas quase todos redirecionam sites famosos, de modo que a vítima acabe no site falso quando um desses endereços for acessado. Também há versões desse ataque que redirecionam os endereços de sites de bancos para páginas clonadas com o intuito de roubar as senhas. Sempre que o Windows se conecta a uma rede, o sistema verifica se há ou não acesso à internet. Essa checagem ocorre por meio do acesso a uma página específica, determinada pelo Windows. Foi essa página que os criminosos redirecionaram. Como o site redirecionado tem um conteúdo diferente do esperado pelo Windows, a página criminosa acaba sendo aberta durante esse teste de conexão. Para a vítima, a impressão que fica é que o site foi aberto automaticamente.