Der Schädling soll sich über Spam-Emails mit präparierten Text-Dokumenten im Anhang verbreiten.
Falls ein Opfer den Text öffnet und die Makro-Funktion in Word unter Windows aktiviert, infiziert Cerber den Computer. Danach verschlüsselt der Schädling Dateien, fordert Lösegeld und sperrt den Zugriff auf den Computer – wie es Erpressungstrojaner üblicherweise tun.
Beim Beobachten des Netzwerkverkehrs eines infizierten Rechners fanden die Sicherheitsforscher heraus, dass Cerber das Subnetz mit UDP-Paketen über den Port 6892 flutet. Angreifer sind so in der Lage, festgelegte Ziele durch DDoS-Attacken lahmzulegen.
Durch Vermietung von solchen DDoS-Botnets auf dem Online-Schwarzmarkt können die Kriminellen so zusätzliche Einnahmen generieren.