Hammertoss ежедневно генерирует пользовательские имена, подходящие для регистрации аккаунтов Twitter. Для связи с вредоносом хозяева регистрируют соответствующий аккаунт и публикуют сообщение c хэштегом и ссылкой на изображение на другом сервере. В картинке методами стеганографии закодировны инструкции для Hammertoss, которые тот расшифровывает, формируя ключ с использованием хэштега. В составе посланий для вредоноса исследователи нашли закодированные команды Powershell, указания по сохранению краденого контента на облачных серверах и инструкции по запуску файлов.
Атакующие пользуются тем, что исходящий трафик к Twitter в организациях обычно не блокируют, а сами сообщения к Hammertoss могут мгновенно удаляться после считывания, что дополнительно усложняет расследование атаки. Чтобы не выделяться на фоне общего «шума», Hammertoss активен только в рабочее время дня.
В FireEye предполагают, что Hammertoss создан хакерами из России, так как вредонос работает по московскому времени и «отдыхает» в российские выходные.