Фахівець компанії Yoroi Марко Раміллі (Marco Ramilli) описав багатоетапну атаку, спрямовану на італійські організації. В рамках шкідливої ??кампанії зловмисники розсилають електронні листи на італійській мові з завантажувачем, замаскованим під бланк замовлення (ordine_065. js).

Даний завантажувач завантажує і виконує PE-файл, який містить ряд компонентів, основними з яких є три модулі - Anti Module, Service і RunPe. IP-адреса ресурсу (31. 148. 99. 254), з якого завантажується файл, імовірно належить розташованій в Україні компанії, що спеціалізується на наданні хмарних послуг.

Як з'ясував дослідник, компонент Anti Module відповідає за використання різних технік ухилення від виявлення. Він проводить перевірки на предмет знаходження на віртуальній машині і при виявленні інструментів SanBoxie, Fiddler і Wireshark змінює власну поведінку. Другий модуль намагається деактивувати різні функції Windows, наприклад, Служба захисту користувачів, Інтерпретатор команд, Планувальник завдань і т.

Нарешті, модуль RunPe розшифровує і виконує додаткову корисне навантаження.

Експерт не вказує, про яке шкідливі програми йде мова або для чого воно призначене. За його словами, цікавим є той факт, що зловмисники використовують різні методи для маскування джерела атаки. Наприклад, в коді зустрічаються рядки як російською мовою, так і ієрогліфи, проте їх наявність аж ніяк не говорить про те, що атака - спільна операція хакерів з РФ і Китаю. Докладніший технічний аналіз представлений в блозі дослідника.