Uvedený způsob šíření je velmi nebezpečný, protože neumožňuje odchycení problémového emailu na bezpečnostních branách – jednoduše proto, že email žádný zákeřný soubor neobsahuje a odkaz směřuje na legitimní web. Po klepnutí na odkaz přitom dojde ke stažení JavaScript souboru, který se tváří jako faktura. A až při pokusu o její otevření dojde ke stažení dalšího „zašifrovaného“ kódu do paměti počítače a aktivování TorrentLockeru.

Trend Micro s Dropboxem spolupracuje na řešení tohoto nebezpečí a aktuálně by měly být všechny nakažené soubory již smazané a účty zablokované. Přesto je vzhledem k uvedenému posunu ve způsobech útoků důležité, aby organizace věnovaly zvýšenou pozornost seznámení zaměstnanců s novými druhy nebezpečí využívajícími prvky sociálního inženýrství. Vhodné je také využívat aktualizované bezpečnostní nástroje.

 
Příklad emailu s odkazem na Dropbox

V období od 26. února do 6. března 2017 odhalila společnost Trend Micro celkem 54 688 spamů, které obsahovaly odkazy na 815 rozdílných Drobpox účtů. Převážná část tohoto útoku byla směřována na evropské státy, zejména pak na Německo (vrchol na začátku března) a Norsko (kulminace koncem února). Pozornost si v souvislosti s mechanismem šíření zaslouží i fakt, že počítačoví zločinci byli v tomto případě aktivní v pracovních dnech, a to nejčastěji v dopoledních hodinách. Tedy v době, kdy mnozí zaměstnanci poprvé kontrolují doručenou poštu a očekávají zprávy související s jejich prací. A vzhledem k tomu, že právě Dropbox mnohé organizace běžně využívají, je pravděpodobnost otevření odkazu zaměstnanci vysoká.

Rozložení útoků v čase