Emotet размещался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. Вредоносная ссылка, обнаруженная исследователем под псевдонимом Benkow, перенаправляла пользователей на документ Word, после загрузки и открытия которого на систему жертвы загружался Emotet. Попав на компьютер, вредоносное ПО собирало конфиденциальные данные для взлома аккаунтов и отправляло их на свой C&C-сервер.