Steam toimii vain alustana vahingolliselle tiedostolle G Datan tutkimusten mukaan. Itse haittaohjelman lataamisen ja asentamisen hoitaa profiilikuvan etsivä ulkoinen tiedosto. Erillistä tiedostoa voidaan jakaa esimerkiksi huijaussähköpostiviesteillä, Threatpost kertoo.

Vaikka haittaohjelmien kätkeminen kuviin ei ole uutta, niin pelialustan käyttämistä sen välittämiseen ei ole nähty aiemmin. Lataaja on piilotettu profiilikuvan metadataan tulostuksen värejä käsittelevään profiiliin. Hyökkääjät käyttävät yleensä tavallisia kuvia kuten meemejä ohjelmien levittämiseen.

Profiilikuvahuijauksen uhreilla ei tarvitse edes olla ladattuna Steamiä tai muuta pelialustoja. Haittaohjelman päivityskin hoituu helposti vain lataamalla uuden profiilikuvan. Kuva sisältää vain lataajan, joka hakee muun haittaohjelman.

Toimeenpanon jälkeen haittaohjelma tuhoaa kaikki turvallisuussuojat ja kopioi itsensä toiseen kansioon. SteamHiden sisään on G Datan mukaan piilotettu työkaluja, jotka eivät ole tällä hetkellä käytössä, mutta voivat olla tulevaisuudessa vaarallisia. Haittaohjelma voi esimerkiksi tarkistaa onko Teams asennettuna tietokoneella ja pystyy luomaan jatkuvasti monimutkaisempia versioita itsestään. Ohjelmassa on myös työkalu, joka voi lähettää ja vastaanottaa komentoja Twitterin kautta.

On hankala sanoa kuinka vaikeaa ohjelman eliminoiminen olisi. Steamin tuoreimpien tilastojen mukaan alustalla on yli 20 miljoonaa käyttäjää. Steamin emoyhtiö Valve ei ole vastannut Threatpostin kommenttipyyntöön.