El malware llega a manos de los usuarios mediante la plataforma Discord, donde los delincuentes, utilizando presuntas cuentas oficiales, se encargaron de viralizar una supuesta actualización de una aplicación para minar Safemoon.

El link, en el cual se promete la descarga, es similar al de la aplicación oficial, pero con una diferencia ortográfica difícilmente de notar. Una vez que la persona hace click allí, es dirigido a una web que representa una recreación exacta del portal original de Safemoon, en la cual se ofrece la descarga de la app, la cual en realidad es un RAT (herramienta de administración remota). Al hacerlo, se da pie al ingreso del virus que desde ese momento tendrá acceso a nuestra información.

De esta manera, el hacker tiene la posibilidad de obtener datos personales sobre el acceso de navegadores como el Explorer, Firefox o Google Chrome, además de obtener registro del pulsado del teclado, la captura del audio del micrófono o la descarga de archivos.

ESET calificó al archivo RAT como un troyano, un virus que a simple vista se presenta como inofensivo pero que logra acceder a los permisos de la víctima, al tiempo que no deja huella detectable por el usuario.