Napad počinje jednostavnom porukom koja sadrži Visual Basic Script (VBS) fajl. Kada korisnik pokrene fajl, započinje lančanu reakciju koji omogućava napadačima daljinski pristup kompromitovanom uređaju.
Prema riječima istraživača kompanije Microsoft, kampanja kombinuje socijalni inženjering sa living-off-the-land tehnikama, koristeći legitimne alate i servise kako bi smanjila detekciju. Nakon izvršavanja, malver kreira skrivene foldere u C:ProgramData direktorijumu i maskira svoje aktivnosti preimenovanjem legitimnih Windows alata.
Na primjer, curl.exe se prerušava u netapi.dll, dok se bitsadmin.exe prikazuje kao sc.exe, što omogućava preuzimanje dodatnih malvera bez izazivanja sumnje.
Dodatni maliciozni sadržaj preuzima se sa pouzdanih cloud platformi poput Amazon Web Services (S3), Tencent Cloud i Backblaze, čime se saobraćaj uklapa u regularnu upotrebu interneta.
Cilj napada je sticanje administratorskih privilegija, što znači da hakeri žele istu moć nad računarom koju ima i vlasnik. Malver pokušava da izmijeni postavke User Account Control (UAC) kako bi onemogućio sigurnosna upozorenja i obezbijedio postojanost čak i nakon restartovanja sistema.
U završnoj fazi, napadači instaliraju maliciozne pakete koji se predstavljaju kao legitimni instaleri, poput WinRAR.msi, Setup.msi ili AnyDesk.msi, čime uspostavljaju trajni daljinski pristup sistemu.
Microsoft savjetuje korisnicima da budu oprezni sa neočekivanim porukama i fajlovima na WhatsApp-u i da osiguraju da je antivirusna zaštita stalno aktivna, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.