A VirusTotal elemzése szerint a kiberbűnözők egyik legegyszerűbb pszichológiai manipulációs trükkje, hogy a malware-t egy népszerű alkalmazásnak álcázzák.
Legtöbbször a Skype, az Adobe Reader, a VLC media player, a 7-Zip, a TeamViewer, a CCleaner, a Microsoft Edge, a Steam, a Zoom és a WhatsApp alkalmazást veszik célba. Gyakori technika, hogy a rosszindulatú szoftvereket szoftvergyártóktól lopott érvényes tanúsítványokkal írják alá. 2021. január óta több mint egymillió olyan mintát találtak, amelyek 87%-a legális, „eredeti” hitelesítéssel rendelkezett. Az ilyen vírusos alkalmazások terjesztésére a bűnözők előszeretettel használják a Discord, Telegram és a hasonló üzenetküldő alkalmazásokat.
2020. január óta mintegy 1816 db olyan mintát is találtak, amelyek azáltal álcázták magukat legális szoftvernek, hogy más népszerű szoftverek, például a Google Chrome, a Malwarebytes, a Zoom, a Brave, a Mozilla Firefox, vagy a Proton VPN telepítőibe csomagolták a kártevőket. Egy harmadik, bár jóval kifinomultabb, bonyolultabb módszer, hogy az eredeti program telepítőjét beépítik a malware mintába. Így a rosszindulatú szoftver futtatásakor a telepítő is lefut, azt a látszatot keltve, hogy a szoftver rendeltetésszerűen működik.
