McAfee заблокувала доступ до шкідливого програмного забезпечення, що розповсюджувалося, як виявилося, з мережі самої компанії. Шкідливість містився на сторонньому сайті, але поширювався через домен, пов'язаний із сервісом McAfee ClickProtect. За іронією долі сервіс призначений для захисту користувачів електронної пошти від фішингових листів та посилань, що розповсюджують зловмисне програмне забезпечення.

Шкідливе посилання виявив французький дослідник безпеки, який використовує псевдонім Benkow. Експерт знайшов і опублікував аналітичний звіт про шкідливе ПЗ, що містить посилання. Посилання перенаправляло користувачів через домен cp.mcafee.com на шкідливий документ Word, після завантаження та відкриття якого на систему жертви завантажувався банківський троян Emotet. Завантаження шкідливості починалося, коли користувач дозволяв активувати макроси.

Після встановлення троян збирав із зараженої системи паролі та відправляв їх на свій C&C-сервер. За словами ІБ-експерта Маркуса Хатчінса (Marcus Hutchins), шкідливість підключається до C&C-сервера за допомогою вшитих IP-адрес, але для обходу виявлення використовує проксі.

Шкідливість, вперше виявлена ​​у 2014 році, знову повернулася у вересні поточного року. Дослідники з Trend Micro зафіксували нову кампанію з розповсюдження Emotet. Основним вектором зараження є фішингові листи, замасковані під рахунки та повідомлення про оплату.

Яким чином з'явилося посилання, по помилці або було створене хакерами, невідомо. Причини повернення Emotet залишаються загадкою.