Útočníci využívají k šíření bankovního trojského koně Dridex makra, která jsou ukryta uvnitř XML souborů (Extensible Markup Language). Zpráva se v zahraničí vydávala za informaci o platbě, která se má nacházet v příloze. Tou byl dokument Wordu, uložený jako XML soubor, pojmenovaný přibližně jako “Rem_0443NF.xml.” Pokud byl na počítači nainstalován Word, tak došlo k otevření tohoto souboru ve Wordu, a pokud byla povolena makra, byl útok dokonán.