#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники осуществили кибератаку, включающую поддельный процесс верификации человеком, для распространения стиллера StealC и программ-вымогателей Qilin через скомпрометированный сайт. Цепочка заражения была инициирована вредоносным скриптом, который загрузил троян удаленного доступа NetSupport (RAT), который, в свою очередь, извлек пакет StealC V2 в ZIP-файле. Кроме того, загруженная сбоку DLL-библиотека с именем rtworkq.библиотека dll была использована для запуска вредоносного ПО StealC, что подчеркивает сложные методологии, используемые в этой атаке.
-----

В недавнем кибер-инциденте злоумышленники использовали поддельный процесс проверки человеком для доставки стиллера StealC и Qilin Ransomware. Эта цепочка атак началась, когда жертвы посетили скомпрометированный веб-сайт, aquafestonline.com , который содержал вредоносный скрипт. Скрипт был разработан для получения запутанного внешнего файла JavaScript (d.js) с внешнего сервера, islonline.org , облегчающий начальные стадии атаки.

Основным методом заражения было внедрение троянца удаленного доступа NetSupport (RAT). RAT отвечал за загрузку пакета StealC V2, который был заархивирован в ZIP-файл, идентифицированный хэш-значениями 0c71102046bea598d2369d2fca664472 для ZIP-архива, и дополнительными хэшами для его содержимого. Основные полезные нагрузки включали client32.exe , который также содержал конкретные идентифицируемые хэши, такие как 98dd757e1c1fa8b5605bda892aa0b82ebefa1f07 для самого исполняемого файла.

Кроме того, в атаке использовался вредоносный DLL-файл с именем rtworkq.dll , который был загружен для выполнения вредоносного ПО StealC. Эта библиотека DLL играла жизненно важную роль в инфраструктуре атаки, гарантируя, что полезная нагрузка может успешно выполняться в системе жертвы.

Индикаторы угрозы, связанные с этим инцидентом, подчеркивают сложный характер атаки и предоставляют важные данные для обнаружения и анализа. Серия хэшей SHA1 и SHA256, относящихся к полезной нагрузке StealC, NetSupport RAT и ZIP-файлам, необходима командам безопасности, стремящимся выявлять и смягчать воздействие таких инфекций в своих средах. В целом, этот инцидент подчеркивает постоянную эволюцию киберугроз и использование сложных методов для компрометации жертв.

#ParsedReport #CompletenessHigh
20-12-2025

APT36 sample analysis

https://www.ctfiot.com/287443.html

Report completeness: High

Actors/Campaigns:
Transparenttribe

Victims:
Government sector, Information technology sector

Industry:
Military, Iot

Geo:
Pakistan, India, Chinese, Indian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1105, T1204, T1204.002, T1204.004, T1218.005

IOCs:
Hash: 21
File: 27
Registry: 2
Url: 2
IP: 3
Command: 2

Soft:
Linux, systemd, PyInstaller, Zoom, WeChat

Algorithms:
aes, zip, xor, sha1, gzip, aes-ecb, sha256, base64, md5

Functions:
listall, upload, download, zip, runcmd, python, screenshot, clean, crack, CanPingGoogleDns, have more...

Win API:
gethostname, decompress, deletefile

Languages:
python, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36 использует два метода для развертывания вредоносного ПО в системах Linux и Windows, маскируя Вредоносные файлы под законные документы. В Linux он создает каталог ".local" и загружает файлы, выполняя скрипт, который открывает потенциально опасный PDF-файл. В Windows он использует вредоносный файл LNK для запуска выполнения встроенного кода с помощью `mshta.exe `, который запускает вредоносное HTML-приложение, что указывает на стратегию социальной инженерии, основанную на доверии пользователей.
-----

Было замечено, что APT36 использует два различных метода для запуска вредоносного ПО на платформах Linux и Windows, уделяя особое внимание распространению Вредоносных файлов, замаскированных под законные документы.

В Linux атака начинается с создания каталога `.local` с определенными разрешениями (0755), за которым следует загрузка трех файлов с целевого URL: `gkt3.1`, `gkt3.sh `, и "ПРИЛОЖЕНИЕ ДЛЯ ОБНОВЛЕНИЯ.pdf`. Тот самый `gkt3.sh После этой загрузки выполняется скрипт, который впоследствии использует команду "xdg-open" для открытия PDF-файла, что потенциально может привести к дальнейшей эксплуатации или запуску вредоносного ПО.

И наоборот, на платформах Windows APT36 использует вредоносный ярлык (файл LNK) с именем "APPL ДЛЯ ОБНОВЛЕНИЯ ИДЕНТИФИКАТОРА ЭЛЕКТРОННОЙ ПОЧТЫ НА ОСНОВЕ ИМЕНИ и ОФИЦИАЛЬНОЙ СЕТЕВОЙ КАРТЫ.pdf.LNK`. Этот файл инициирует выполнение встроенного кода с помощью `mshta.exe `инструмент, законное системное приложение Windows. Ярлык загружает и запускает вредоносное HTML-приложение `app.hta` (идентифицируемое по хэшу MD5 90796ed66e7f5f36b6317e6bdf9718ce), которое представляет значительную угрозу, способствуя дальнейшему компрометированию системы.

Используемые методы отражают стратегический подход к социальной инженерии, использующий знакомые названия документов, чтобы заманить жертв к запуску вредоносного ПО, тем самым подчеркивая сохраняющуюся тенденцию в киберугрозах, когда злоумышленники используют доверие пользователей к официальным сообщениям.

#ParsedReport #CompletenessMedium
17-12-2025

NuGet malware targets Nethereum tools

https://www.reversinglabs.com/blog/nuget-malware-crypto-oauth-tokens

Report completeness: Medium

Threats:
Nethereumnet
Supply_chain_technique

Victims:
Crypto users, Software developers

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1528, T1552, T1565

IOCs:
File: 1
Url: 1
Hash: 265

Soft:
NuGet, Nethereum, Twitter

Wallets:
bitcoincore, coinbase

Crypto:
solana, ethereum, binance

Algorithms:
xor, exhibit, sha1

Languages:
csharp, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ReversingLabs выявила вредоносные пакеты на платформах с открытым исходным кодом, нацеленные на разработчиков криптовалют, число которых увеличится с 2024 по 2025 год. Вредоносное ПО включает в себя специализированные стиллеры кошельков, которые маскируют вредоносный код в законных приложениях, пакеты NuGet, такие как Coinbase.Net.Api, которые манипулируют методами транзакций для перекачки средств, и GoogleAds.Пакет API, который извлекает данные OAuth. Эти атаки используют уязвимости в Цепочке поставок программного обеспечения с открытым исходным кодом, позволяя злоумышленникам создавать бесшумные бэкдоры.
-----

ReversingLabs выявила серию вредоносных пакетов на платформах программного обеспечения с открытым исходным кодом, в частности, нацеленных на разработчиков и пользователей криптовалют. Эта тенденция, которая начала усиливаться в 2024 году и сохранялась до 2025 года, указывает на значительный поворот злоумышленников к использованию криптографических приложений для получения финансовой выгоды.

Самое вредоносное ПО можно разделить в основном на три группы. Первая группа включает в себя специализированные кошелек похитителей, которые не сразу выполнить вредоносный код после установки, в отличие от обычных вредоносное ПО. Вместо этого, эти пакеты предназначены, чтобы замаскировать вредоносный код внутри легитимной базы кода. Это скрытый способ позволяет вредоносное ПО, которые должны быть включены в приложения, не вызывая немедленное подозрение.

Вторая группа включает специальные пакеты NuGet, такие как Coinbase.Net.Api, которые аналогичным образом внедряют вредоносные функции. В рамках этой платформы злоумышленник может манипулировать методом SendMoneyAsync, который обрабатывает транзакции с криптовалютой. Изменив адрес целевого кошелька на адрес, контролируемый злоумышленником, можно незаметно вывести средства из транзакций на сумму более 100 долларов, особенно во время небольших транзакций, которые представляют меньший риск срабатывания предупреждений.

К третьей группе относятся GoogleAds.Пакет API, который работает аналогично вышеупомянутому стиллеру кошельков, но нацелен на удаление конфиденциальных данных Google Ads OAuth вместо информации о криптовалюте. Это демонстрирует универсальность методов атаки, используемых злоумышленниками.

Последствия этих атак глубоки, они подчеркивают уязвимости в Цепочке поставок программного обеспечения с открытым исходным кодом, где доверием можно легко воспользоваться. Актеры опасный заработать на первый взгляд безобидные зависимости, чтобы создать то, что составляет молчит бэкдор для своих атак.

#ParsedReport #CompletenessLow
17-12-2025

From Linear to Complex: An Upgrade in RansomHouse Encryption

https://unit42.paloaltonetworks.com/ransomhouse-encryption-upgrade/

Report completeness: Low

Actors/Campaigns:
Ransomhouse (motivation: financially_motivated)

Threats:
Ransomhouse
Mragent
Spear-phishing_technique
Mario
Junk_code_technique
Esxiargs

Industry:
Healthcare, Transport, Government, Financial

Geo:
Japan, Korea, Middle east, India, Australia, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1203, T1486, T1560.001, T1566.001

IOCs:
File: 1
Hash: 4

Soft:
ESXi, Telegram, esxcli, VirtualBox

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RansomHouse, управляемый группой Jolly Scorpius, расширил свое предложение "программа-вымогатель как услуга" за счет улучшенного шифрования и эволюционирующих стратегий атак. Первоначальные вторжения используют spear phishing, социальную инженерию и использование уязвимостей zero-day, за которыми следуют методы эксфильтрации данных с использованием таких инструментов, как MrAgent и Mario. Новая версия Mario шифрует файлы сложными, многоуровневыми методами, ориентируясь на определенные расширения файлов и используя метод обхода каталогов, что указывает на расширение возможностей киберпреступников.
-----

RansomHouse - это усовершенствованная программа-вымогатель как услуга (RaaS), управляемая группой, известной как Jolly Scorpius, которая недавно обновила свои механизмы шифрования, что указывает на значительную эволюцию их стратегий атак. Акторы, стоящие за RansomHouse, в основном выступают в качестве разработчиков серверной части платформы RaaS, полагаясь на аффилированных лиц для осуществления первоначальных вторжений в сети жертв. Эти первоначальные атаки обычно выполняются с помощью spear phishing и социальной инженерии, а также путем использования уязвимых систем, использующих уязвимости zero-day.

Как только злоумышленники получают доступ, они используют методы для эксфильтрации эксфильтрация, в том числе для сжатия файлов и перенос инженерных сетей, и отправить этот украденные данные на собственных серверах. После эксфильтрация, вымогателей развернут, после чего наступает этап вымогательство где переговоров с жертвами происходят через платформы, такие как сайт, утечка телеграмму и специализированных данных.

В ransomhouse RansomHouse использует специальные инструменты, в том числе MrAgent и Марио, которые адаптированы для ущерба для виртуальных сред, особенно тех, кто работает на сети в ESXi. MrAgent-это основной инструмент развертывания, что способствует стойким и управления доступом взломанных систем. Его функционал включает в себя методы обфускации, чтобы затруднить реверс-инжиниринга и он сохраняет настройки и данные состояния через внутреннюю JSON структур.

Mario, специализированный инструмент шифрования, работает путем шифрования файлов, связанных с виртуальными машинами. Обновленная версия Mario внедрила более сложные методы шифрования по сравнению со своей предшественницей. Он нацелен на определенные расширения файлов и работает по методу обхода каталогов, в то время как зашифрованные файлы переименовываются с расширением, включающим ".emario". Новая версия Mario также повышает эффективность и устойчивость к анализу благодаря более сложному подходу, включающему выборочную обработку файлов.

Модернизация технологии шифрования RansomHouse отражают тревожную тенденцию в рекламных, переход от базового шифрования, к более сложным, многослойным одна, что усиливает эффективность этих злоумышленников. Эта модернизация предполагает непрерывное совершенствование потенциала субъектов опасным, подчеркивает необходимость участия защитников, чтобы адаптировать свои стратегии в ответ на эти новые угрозы.

#ParsedReport #CompletenessLow
18-12-2025

In depth analysis of the alleged Qilin, DragonForce and LockBit alliance

https://labs.yarix.com/2025/12/in-depth-analysis-of-the-alleged-qilin-dragonforce-and-lockbit-alliance/

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
Lockbit
Shinyhunters (motivation: financially_motivated)
Lockbitsupp

Threats:
Qilin_ransomware
Lockbit
Dragonforce_ransomware
Blackcat
Ransomhub
Hunters_international
Hive_ransomware
Playcrypt
Akira_ransomware
Clop
Inc_ransomware
Safepay
Lynx
Babuk

Geo:
Russian

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


Soft:
GoAnywhere, MOVEit, Salesforce

Languages:
solidity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Союз между вымогателей группы Qilin, DragonForce, и LockBit свидетельствует об изменении вымогателей ландшафта, в частности, как установлено групп, как LockBit лицо эксплуатационные проблемы из-за неопытных операторов, так и конкуренцию со стороны других субъектов, с использованием нетрадиционных вымогателей-как-услуга моделей. В частности, cl0p's уязвимостей в корпоративных самых интересных моментов из программного обеспечения эта тенденция. Несмотря на рост числа заявлений о вымогательстве, фрагментация среди этих групп свидетельствует о необходимости поддержания актуальности, а не о единой операционной стратегии.
-----

Анализ касается недавно объявленного альянса между группами программ-вымогателей Qilin, DragonForce и LockBit, о котором сообщалось 15 сентября 2025 года. Это объявление вызвало обеспокоенность относительно целостности и функциональности этих групп в рамках развивающегося рынка программ-вымогателей. Данные, собранные из различных источников вплоть до конца ноября 2025 года, указывают на существенный кризис реструктуризации в экосистеме программ-вымогателей, в значительной степени связанный с упадком исторически доминирующих игроков, таких как HIVE и LockBit, и продолжающимися операциями против этих групп.

Важный вывод подчеркивает, что многие операторы, связанные с LockBit, неопытны, что приводит к снижению операционной эффективности и трудностям с привлечением новых квалифицированных участников. Это привело к восприятию LockBit как все более устаревшего, особенно после неудач в операции Cronos. Параллельно растет число альтернативных акторов-вымогателей, отличающихся от традиционных моделей "Программы-вымогатели как услуга" (RaaS), с заметным акцентом на использование уязвимостей в широко используемом программном обеспечении, прежде чем предъявлять требования о выкупе. Cl0p является примером этой тенденции, успешно использовав слабые места в приложениях, предназначенных для передачи корпоративных данных.

Несмотря на сообщения об увеличении числа заявлений о вымогательстве примерно на 61% в годовом исчислении, что свидетельствует о росте числа зарегистрированных инцидентов, основные проблемы, с которыми сталкиваются известные группы, такие как LockBit, указывают на фрагментацию власти, а не на согласованную операционную стратегию. Эта фрагментация дополнительно иллюстрируется отсутствием оперативных сигналов от LockBit с середины 2025 года, что позволяет предположить, что любой созданный альянс может в первую очередь служить репутационным целям, а не свидетельствовать о подлинном сотрудничестве между этими группами.

Кроме того, изучение настроений сообщества на подпольных форумах выявляет недоверие опытных операторов к LockBit, о чем свидетельствует опрос, который высказался за сохранение ограничений на учетную запись известного участника LockBit. Общий вывод представляет альянс Qilin, DragonForce и LockBit как потенциальную стратегию выживания в условиях операционного давления, направленную на сохранение актуальности бренда и привлечение новых партнеров, а не представляющую собой расширенное сотрудничество между известными акторами-вымогателями.

#ParsedReport #CompletenessHigh
18-12-2025

Defeating AuraStealer: Practical Deobfuscation Workflows for Modern Infostealers

https://www.gendigital.com/blog/insights/research/defeating-aurastealer-obfuscation

Report completeness: High

Threats:
Aurastealer
Antivm_technique
Sandbox_evasion_technique
Antidebugging_technique
Heavens_gate_technique
Dll_sideloading_technique
Glassworm
Clickfix_technique
Lumma_stealer
Stealc
Vidar_stealer
Rhadamanthys
Unicorn_tool
Anydesk_tool

Victims:
Consumers, General users

Geo:
Lithuania, Estonia, Russian, Latvia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1059.001, T1071.001, T1105, T1106, T1106.001, T1140, T1204.002, have more...

IOCs:
File: 1
Path: 1
IP: 1
Hash: 12
Domain: 27

Soft:
TikTok, Microsoft Defender, Discord, Telegram, Steam, KeePass, Bitwarden, 1Password, LastPass

Algorithms:
mersenne_twister, xor, murmur3, fnv-1a, aes-cbc, exhibit

Functions:
NTDLL, IDA, AuraStealer

Win API:
WinMain, ShellExecuteExW, GetModuleHandleA, VirtualAlloc, MapFileAndCheckSumW, GetUserDefaultLCID, GetSystemDefaultLCID, GetLocaleInfoA, GetSystemTimePreciseAsFileTime, GetUserNameW, have more...

Languages:
powershell, python

Links:
https://github.com/avast/ioc/blob/master/AuraStealer/extras/aurastealer\_config\_extractor.py
https://github.com/avast/ioc/blob/master/AuraStealer/extras/aurastealer\_decrypt\_strings.py
have more...

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 2, dump: 6, code: 13, schema: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AuraStealer - это вредоносное ПО-стиллер на основе C++, предназначенное для систем Windows от 7 до 11, предназначенное для извлечения данных из более чем 110 браузеров и 70 приложений, в частности кошельков и средств аутентификации. Он распространяется с помощью вводящих в заблуждение видеороликов TikTok, используя административные команды PowerShell для своей установки. Вредоносное ПО использует передовые методы обфускации и антианализа, включая динамическую генерацию мьютексов и специальные проверки защитных сред, чтобы избежать обнаружения, одновременно облегчая масштабные операции по краже данных.
-----

AuraStealer - это стиллер вредоносного ПО типа "как услуга", разработанный на C++ и предназначенный для систем Windows от Windows 7 до Windows 11. Он извлекает данные из более чем 110 браузеров и 70 приложений, включая кошельки и инструменты двухфакторной аутентификации. Вредоносное ПО использует вводящие в заблуждение видеоролики TikTok, чтобы заставить пользователей выполнять вредоносные команды и загружать полезную нагрузку через PowerShell. Он использует методы запутывания, такие как косвенное запутывание потока управления, хэширование API, управляемое исключениями, и запутывание строк, чтобы затруднить анализ. AuraStealer включает в себя методы антианализа, проверку наличия защитных сред и диалоговые окна пользовательского ввода. Он также проводит проверку геолокации и обнаруживает аномалии, такие как отладчики и виртуальные машины. Его процесс выполнения включает в себя настройку пользовательских обработчиков исключений, расшифровку конфигураций и кражу данных с помощью динамически генерируемого мьютекса для ограничения количества экземпляров. Он обходит шифрование, привязанное к приложениям, в браузерах на базе Chromium, выполняя их в приостановленном безголовом режиме. Сетевые действия начинаются с проверки подключения и взаимодействия с инфраструктурой управления для поиска конфигурации и эксфильтрации файлов через назначенные конечные точки API.

#ParsedReport #CompletenessHigh
19-12-2025

Stealth in Layers: Unmasking the Loader used in Targeted Email Campaigns

https://cyble.com/blog/stealth-in-layers-unmasking-loader-in-targeted-email-campaigns/

Report completeness: High

Threats:
Steganography_technique
Purelogs
Katz_stealer
Asyncrat
Remcos_rat
Process_injection_technique
Uac_bypass_technique
Process_hollowing_technique
Spear-phishing_technique

Victims:
Manufacturing, Government, Industrial

Industry:
Entertainment, Government

Geo:
Middle east, Saudi arabia, Italy, Finland

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 8
Technics: 22

IOCs:
File: 2
IP: 1
Hash: 6
Url: 4

Soft:
Task Scheduler, Firefox, NET framework

Algorithms:
cbc, sha256, gzip, des, base64, zip

Functions:
TaskScheduler

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен сложный загрузчик, нацеленный на производственный и государственный секторы Италии, Финляндии и Саудовской Аравии с целью кражи конфиденциальных данных и компрометации учетных данных. Он предоставляет различные трояны удаленного доступа и использует Стеганографию, чтобы скрыть вредоносную полезную нагрузку внутри доброкачественных изображений, что затрудняет обнаружение. Атака использует такие методы, как запутывание JavaScript, гибридная сборка в библиотеках с открытым исходным кодом, UAC bypass для получения повышенных привилегий и Внедрение в пустой процесс, создавая сложную среду угроз.
-----

CRIL выявила сложный загрузчик, используемый многочисленными злоумышленниками в нацеленных кампаниях, нацеленных на производственный и государственный секторы, главным образом в Италии, Финляндии и Саудовской Аравии. Основной целью этих кампаний является кража конфиденциальных промышленных данных и компрометация административных учетных данных. Загрузчик функционирует как универсальная платформа распространения вредоносного ПО, предоставляя ряд троянов удаленного доступа (RAT) и стиллеров информации, включая PureLog Stealer, Katz Stealer, DC RAT, Async Rat и Remcos. Использование Стеганографии позволяет встраивать вредоносную полезную нагрузку в доброкачественные изображения, размещенные на законных платформах, таким образом избегая традиционной сетевой защиты.

Злоумышленники используют метод, называемый "гибридной сборкой", для вставки вредоносных функций в надежные библиотеки с открытым исходным кодом, в частности в библиотеку TaskScheduler. Этот процесс позволяет файлам выглядеть законными, скрывая при этом их вредоносные возможности, что усложняет усилия по обнаружению на основе сигнатур. Процесс заражения проходит по четырехэтапному конвейеру, разработанному для минимального криминалистического обнаружения: он начинается с обфускации JavaScript, чтобы скрыть его назначение, за которой следует стеганографическое извлечение полезной нагрузки из файла изображения, которое затем автоматически загружается в память для выполнения без взаимодействия с диском. Кроме того, был использован уникальный метод обхода контроля учетных записей пользователей (UAC), который обманом заставляет операционную систему предоставлять повышенные привилегии, случайно задействуя запросы UAC во время обычных операций.

Первоначальным источником заражения в первую очередь являются электронные письма с Целевым фишингом, замаскированные под законные заказы на покупку, отправляемые нацеленным организациям. Файл JavaScript содержит сильно запутанный код, выполняемый PowerShell, который извлекает вредоносный PNG-файл из Archive.org , встраивая .NET-сборку в кодировке base64. Эта сборка становится оружием путем внедрения вредоносного кода в троянскую версию библиотеки TaskScheduler. Наконец, вредоносное ПО использует Внедрение в пустой процесс, вводя полезную нагрузку во вновь созданный приостановленный RegAsm.exe процесс, позволяющий ему функционировать как законному приложению Windows при выполнении своих вредоносных задач.

Конечная полезная нагрузка, PureLog Stealer, извлекается с помощью процесса тройного дешифрования DES с последующей распаковкой в GZip перед вызовом полезной нагрузки. Методология атаки отражает последовательное использование передовых методов обфускации, Стеганографии и существующих системных процессов для уклонения от обнаружения, что делает этот загрузчик частью постоянной и адаптируемой среды киберугроз.