這些駭客冒充墨西哥稅務管理局（SAT）、墨西哥聯邦電力委員會（CFE）、墨西哥行政和財政部長、阿根廷稅務局、南非稅務局（SARS）等政府機關或首長名義，以收信人使用的母語寄送釣魚郵件，並以檢視發票、財務報表、稅務資料的名義，引誘他們點選信中的連結，一旦收信人依照指示操作，就會被引導至下載PDF的網頁，但實際上，使用者會取得內含超過100 MB執行檔的ZIP檔案。研究人員指出，這個執行檔就是Grandoreiro的載入工具，而檔案製作的時間，通常是在電子郵件發送的前一天或當日。

特別的是，為了防止自動執行影響攻擊鏈進行，該載入工具還加入了Adobe Reader的檢視器CAPTCHA對話框，使用者必須進行「驗證」，才會正常執行後續工作。

針對最近出現的Grandoreiro，研究人員指出有多項與過往版本不同之處。首先，攻擊者導入了AES CBC並結合自有的演算法進行資料加解密，並透過網域產生演算法（DGA）取得C2的IP位址，再者，則是將攻擊範圍從銀行應用程式擴及加密貨幣錢包，此外，他們也針對使用收信軟體Outlook的用戶，停用安全性警示通知，並利用這種收信軟體向其他人發送釣魚信。

為了避免惡意軟體在沙箱環境執行，這些駭客也透過前述的惡意程式載入工具，收集電腦系統資訊，其中包含防毒軟體名稱、受害者所在的國家，以及正在運作的處理程序列表。

特別的是，Grandoreiro不只會在俄羅斯、捷克、波蘭、荷蘭終止運作，針對位於美國但尚未部署防毒軟體的Windows 7電腦，該惡意程式也同樣不會執行。若依此態勢判斷，不容易猜測攻擊者是否受到特定國家的支持。