Auf dem untersuchten Computer ließen sich drei Module identifizieren:
• Auf dem System gespeicherte Passwörter (insbesondere Browserpasswörter) werden extrahiert und an die Angreifer weitergeleitet.
• Dem Nutzer werden im Webbrowser Passwörter aktiv entlockt, insbesondere von Online-Banking Webseiten.
• Informationen über die Systeme werden dem Angreifer zugespielt.
Die besondere Schwere des Angriffs liegt in der fehlenden Netzwerksegmentierung des KG sowie lokale Administratorenaccounts der Nutzer. Auch erschwert das fehlende Logging am Proxyserver, welches erst nach Bekanntwerden des Incidents aktiviert wurde, die Aufklärung.