Получив обратно контроль над своим счетом, он обнаружил, что его счет был опустошен через переводы на счета третьих лиц, которые затем использовали деньги для покупки криптовалют. Киберпреступники воспользовались моментом, когда жертва находилась в своем интернет-банкинге, чтобы завладеть контролем и совершить денежные переводы на счета под их контролем. Они также используют рынок Peer to Peer (P2P) для обмена криптовалют напрямую на украденные деньги, покупая USDT у различных трейдеров от имени жертвы.
Этот тип вредоносного ПО сложно обнаружим из-за медленного скачивания и избегания обнаружения большинством брандмауэров. Силы правопорядка провели крупную операцию по ликвидации сети незаконных малварей и криптовалют под названием "THEMIS". Было проведено 64 одновременных обысков по всей стране, с общим числом 20 арестов в Аргентине и еще 10 за рубежом, в основном граждан Венесуэлы и Бразилии. Один из главных виновников, Франсиско Хавьер Урибе Урданета, гражданин Венесуэлы, действовал из США, и в настоящее время идет его экстрадиция. По заявлению, ущерб составил $1,5 миллиарда.
Среди жертв оказались такие учреждения, как "Círculo de la Policía de la Provincia de Buenos Aires", Лаборатория Фармацевтики де Кильмес, компания в Байя-Бланка и Колледж Святого Георга в Кильмесе. Эти сущности понесли миллионные убытки, которые затем были преобразованы в криптовалюты, в основном через платформу Binance, и переведены на счета за рубежом. Расследование, проводимое командой следователей по криптоактивам прокуратуры провинции Буэнос-Айрес, поддерживалось Министерством национальной безопасности, Национальным дирекция научной информации, Аргентинской Федеральной полицией и Интерполом.
Сотрудничество бирж Binance и Lemon, предоставивших ключевую информацию из своих баз данных и экспертов по мошенничеству, было фундаментальным для успеха расследования. Обыски проводились в различных провинциях Аргентины, включая Буэнос-Айрес, Мисьонес, Энтре-Риос, Чако, Санта-Фе, Тукуман и Рио-Негро, а также в автономном городе Буэнос-Айрес.
Жертвами обычно являются люди с доступом к корпоративным счетам, которые получают вредоносные ссылки или документы, кажущиеся обычной корпоративной информацией, такой как коммерческие предложения или резюме. После открытия они заражаются вредоносным программным обеспечением, таким как бразильский троян "Grandoreiro", предназначенный для удаленного управления компьютером. После заражения, при входе в свой интернет-банкинг, жертва перенаправляется на фальшивый экран, требующий пароль, потеряв контроль над своим ПК.
