A campanha teve inicio em abril de 2017 e era dirigida a algumas das maiores multinacionais das indústrias do petróleo e gás, fabrico, banca e construção, segundo avança a Check Point. Apesar de ser apontado o envolvimento de um grupo de peritos ou de uma agência patrocinada por um estado nos ataques, a verdade é que todo o esquema foi obra de um nigeriano, com cerca de 20 anos, que vive perto de Abuya, a capital do país. Na sua conta do Facebook, utiliza o lema: "ficar rico ou morrer a tentar ".

A empresa de segurança explica que o ataque tinha por base emails fraudulentos nos quais se fazia passar pelo gigante do petróleo e gás saudita Aramco, o segundo maior produtor de petróleo do mundo. As mensagens dirigiam-se a pessoas da área financeira das empresas alvo e tinham como objetivo enganá-los e roubar os seus dados bancários.

O cibercriminoso recorreu ao NetWire, um Trojan de acesso remoto que permite o controlo total sobre as máquinas infetadas, e ao Hawkeye, um programa de keylogging. A campanha divulgada internacionalmente conseguiu14 infeções bem-sucedidas, o que acabou por gerar milhares de dólares de receitas para o autor do esquema.

Maya Horowitz, diretora da equipa de Inteligência de Ameaças da Check Point - empresa responsável por identificar o autor do ataque -, explica em comunicado que "este individuo utilizava emails de phishing de baixa qualidade e malware genérico fácil de encontrar online. No entanto, a sua campanha foi capaz de infetar várias organizações e tinha como alvo mais alguns milhares de empresas em todo o mundo. Isto mostra como é fácil para um hacker relativamente pouco qualificado lançar uma ofensiva a grande escala que tem êxito, inclusive junto de grandes empresas que deviam estar mais protegidas".

A diretora alerta ainda para a "necessidade de as empresas melhorarem a sua segurança para se manterem protegidas contra o phishing e as ameaças que comprometem os seus sistemas de email, bem como a importância de formar os colaboradores sobre a abertura e leitura de mensagens, inclusive provenientes de empresas ou pessoas supostamente conhecidas ".

Desde a descoberta da campanha e das suas origens, a equipa de investigação da Check Point já alertou as autoridades policiais nigerianas, assim como os órgãos de segurança internacionais, tendo partilhado as conclusões a que chegaram.