一旦用户运行CrowdStrike Falcon.exe，电脑就会进行解压缩作业，调用以Python编程语言打造的窃资软件Connecio。此窃资软件会收集电脑系统信息、多种浏览器数据，以及系统的外部IP位址信息。

而这款窃资软件取得与C2连接信息的方式，是向特定的Pastebin网址取得C2服务器组态，并借由SMTP邮件帐号，外传窃得的数据。

针对加密货币钱包的部分，这些黑客疑似借由剪贴板挟持的方式进行，并使用Python程序库来控制受害电脑的剪贴板。他们借由特定的钱包网址特征进行比对、置换，来盗取受害者的加密货币资产。

事隔一天，研究人员发现另一起窃资软件攻击行动，这回是恶名昭彰的Lumma Stealer（也有人称为LummaC2），他们发现网钓网域crowdstrike-office365[.]com，假冒该资安业者的名义散布恶意ZIP及RAR压缩档，内含MSI安装档，一旦运行，电脑就会加载窃资软件。

他们特别提及这个网域的注册时间，是在大当机事故发生之后（23日），显然是针对这起事故而来，再者，攻击者的身份，研究人员怀疑是6月借由垃圾邮件轰炸及语音钓鱼（vishing）手法，散布Lumma Stealer的黑客所为。

若是用户不慎下载并运行MSI安装程序，电脑就会加载RAR自解压缩档plenrco.exe，并解开、运行以NSIS封装打包的安装程序SymposiumTaiwan.exe，从而在受害电脑部署经过CypherIt打包的窃资软件。