De Dorifel-cryptomalware zou zich via de chatfunctie van Facebook verspreiden. Gebruikers krijgen een link voorgeschoteld onder het voorwendsel dat ze foto's te zien krijgen. De link leidt echter naar een pagina die de malware installeert, waarna de link wordt doorgestuurd naar vrienden.
De kwaadaardige links worden via Facebook Chat verspreid met daarbij de tekst 'Your photos? LOL'. Wie de chatfunctie niet geactiveerd heeft, krijgt de link als bericht in de map Overige. De link leidt naar een site die er uitziet als een Facebook-pagina en die de melding geeft dat een app geïnstalleerd moet worden om de content te zien. De automatische download haalt echter Trojan-Dropper.Win32.Dorifel binnen, die vervolgens meer malware het systeem binnensmokkelt, onder andere om bankgegevens te stelen.
Ook wordt na installatie de link verder verspreid via de vriendenlijst van het slachtoffer. De verspreiding werd ontdekt door de Oostenrijkste site Mimikama, die Facebook-gebruikers waarschuwt voor kwalijke praktijken omtrent het sociale netwerk. Dorifel hield vorig jaar vooral in Nederland huis en toen verliep de verspreiding vooral via het Citadel-botnet. De malware gijzelt onder andere Office-documenten. Recent bijgewerkte antivirussoftware zou de malware moeten herkennen.