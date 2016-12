Attacken går ut på att utnyttja Word-filer med javascriptkod som, om användaren kör den, får systemet att installera ett självsignerat root-certifikat via Powershell. Dessutom ändras webbläsarens proxyinställningar så att all trafik går via hackarnas spionserver.

Tack vare root-certifikatet godkänns trafiken till proxyn även för https-säkrade webbplatser, och därför kan användaren surfa vidare utan att notera att något är galet då alla säkra webbplatser ser ut att ha sitt vanliga hänglås.

En annan sak som gör den här attacken lömsk är att du inte skyddas av att ansluta till internet via vpn, eftersom all trafik i webbläsaren fortfarande kommer gå via proxyn efter att ha passerat genom vpn-tunneln.