این پویش اگر چه وسعت زیادی ندارد، اما جاسوسان در آن با استفاده از خدمات شرکت PayPal از کاربران درخواست پول می‌کنند. کاربران نیز سپس یک رایانامه با عنوان «شما یک درخواست پول دارید» را دریافت می‌کنند و از آنجایی‌که این رایانامه از شرکت PayPal ارسال شده است، در ظاهر صحیح، قانونی و بدون مشکل است.

شرکت تحقیقاتی Proofpoint در این خصوص اعلام کرد که از آنجایی‌که پیام‌های موجود این رایانامه‌ها جعلی نیستند، بخش‌های بررسی هرزنامه‌ها نمی‌توانند آن‌ها را تشخیص دهند و بنابراین این رایانامه‌ها در بخش inbox حساب جیمیل کاربران ذخیره می‌شوند. محققان در مورد اینکه فرآیند کار هرزنامه خودکار و یا دستی است به نتیجه‌ای نرسیده‌اند. آن‌ّها در حال حاضر بیشتر به این نکته تأکید دارند که در این فرآیند یک بخش خدماتی انتقال پول برای انتشار بدافزار مورد سوءاستفاده واقع شده است.
با بررسی پیام‌های درخواست پول در این فرآیند، مشخص شده است که درخواست انتقال مبلغ صد دلار به کاربر ارسال می‌شود. رایانامه ارسالی شامل یک آدرس به صورت Goo.gl است که کاربر را به سمت یک تصویر هدایت می‌کند که در آن جزئیات انتقال پول عنوان شده است و مهاجمان نیز با استفاده از روش‌های مهندسی اجتماعی کاربر را متقاعد می‌کنند که روی نشانی کلیک کند.

شرکت Proofpoint در این خصوص اعلام کرد: «در فرآیند درخواست انتقال پول از شرکت PayPal همواره یک یادداشت نیز در کنار درخواست قرار دارد که در آن نفوذگر یک پیام را به صورت جعلی تنظیم می‌کند و در آن یک نشانی اینترنتی مخرب را قرار می‌دهد. گیرنده نیز تحت تأثیر روش‌های مهندسی اجتماعی اقدام به انتقال این مبلغ می‌کند و یا نشانی را کلیک کرده و تروجان را وارد رایانه خود می‌کند. در برخی موارد نیز هر دو این اتفاقات رخ می‌دهد.»
نشانی Goo.gl موجود در رایانامه کاربر را به katyaflash[.]com/pp.php هدایت می‌کند. در این بخش، یک پرونده جاوااِسکریپت با نام paypalTransactionDetails.jpeg.js بارگیری می‌شود. اگر کاربر این پرونده را باز کند، یک پرونده قابل‌اجرا از wasingo[.]info/۲/flash.exe بارگیری می‌شود. پرونده‌ای که در این بخش بارگیری می‌شود، همان تروجان بانکی Chthonic است که طبق بررسی‌ها، یک نمونه دیگر از تروجان Zeus است. طبق یافته‌های محققان، نمونه Chthonic این تروجان که در این حمله مورد استفاده قرار گرفته است، کارگزار فرمان‌دهی و کنترل را به kingstonevikte[.]com متصل می‌کند. علاوه بر این، این تروجان همچنین اقدام به بارگیری یک بار داده برای مرحله بعد می‌کند که طبق بررسی‌ها این بار داده همان بدافزار معروف AZORult است.
نکته مثبتی که در این خصوص وجود دارد این است که قدرت این پویش زیاد نیست و نشانی مخرب مورداستفاده در این فرآیند در دوره تحقیقات شرکت Proofpoint تنها حدود ۲۴ مرتبه توسط کاربران کلیک شده بود. شرکت PayPal نیز در همان زمان در مورد این اتفاقات خبردار شد. علاوه بر این، محققان معتقدند روش جدید این تروجان در انتشار هم جالب ‌توجه و هم دردسرساز است.

پیام‌های موجود در رایانامه‌ها در ظاهر از یک منبع قانونی و بدون مشکل فرستاده می‌شود و همین امر باعث می‌شود نتوان از رسیدن آن‌ها به کاربر جلوگیری کرد. اگرچه بخش‌های ارسال رایانامه و همچنین خود کاربران و موتورهای ضدهرزنامه قابلیت‌های شناسایی هرزنامه را دارند و می‌توانند از رسیدن پیام‌های مخرب به کاربران جلوگیری کنند، اما ارسال این رایانامه‌ها از یک منبع به ظاهر قانونی، این امر را سخت می‌کند و این مسئله در اصل راه گریزی است که برخی عوامل تهدید مانند تروجان‌ها از آن برای گریز از شناسایی شدن استفاده می‌کنند.
شرکت Proofpoint در بخش دیگری از تحقیقات خود اذعان داشت: «کاربرانی که نرم‌افزارهای ضدبدافزار برای شناسایی نشانی‌های اینترنتی مخرب موجود در رایانامه‌ها را ندارند، باید مراقب باشند، زیرا که عدم وجود چنین نرم‌افزارهایی باعث بروز خطر می‌شود. در عین حال، روش‌های مهندسی اجتماعی موجود برای درخواست انتقال پول از یک بخش خدماتی قانونی، خطر بیشتری را متوجه کاربران نا محتاط یا تازه‌کار می‌کند.»