חוקרי אבטחת סייבר מ- HP Wolf Security מזהירים מפני מספר קמפיינים פעילים המביאים להורדה והפעלת נוזקות אצל קורבנות תמימים. הצוות מתאר כיצד איתר האקרים אשר יצרו מספר רב של אתרים בעלי שגיאות כתיב המתחזים לתוכנות פופולריות כגון Audacity, Blender או GIMP. ההאקרים גם מפעילים מסעות פרסום ממומנים ברשתות שונות כדי לקדם את האתרים המזויפים הללו. כאשר אנשים מחפשים את התוכנות הללו, מנועי החיפוש עלולים להציג להם גרסאות זדוניות של אתרי האינטרנט ממש ליד הגירסאות הלגיטימיות. במידה והמשתמש לא נזהר ולא בודק את כתובת האתר שבו הוא מבקר, הוא עלול להגיע למקום הלא נכון.
אם הקורבנות אכן מגיעים למקום הלא נכון, הם בקושי מצליחים לשים לב להבדל. האתרים נועדו להיראות כמעט זהים לאתרים האותנטיים, עד לפרטים הקטנים ביותר. בדוגמה של Audacity, האתר מארח קובץ exe זדוני המתחזה למתקין התוכנית. הוא נקרא audacity-win-x64.exe וגודלו כ- 300MB. בהיות נפח קבצי ההתקנה כה גדול, מנסים ההאקרים להימנע מהעלאת חשד (נפח נוזקה הוא לרוב KB בודדים) ובמקביל מנסים גם להימנע מתוכנות אנטי וירוס. לדברי החוקרים, תכונות הסריקה האוטומטיות של חלק מתוכניות האנטי וירוס אינן סורקות קבצים גדולים במיוחד.
לדברי חוקרי אבטחת סייבר, מתארחים קבצי הנוזקה בשירות אחסון הענן 4sync.com, מה שרומז שמנגנון הגנה טוב עשוי היה להיות חסימת גישה לשירות זה לחלוטין. במסע הפרסום מופצים סוגים שונים של נוזקות: הטרויאני IcedID, גנב המידע של Vidar, BatLoader ו- Rhadamanthys Stealer.