Специалист компании Yoroi Марко Рамилли (Marco Ramilli) описал многоэтапную атаку, направленную на итальянские организации. В рамках вредоносной кампании злоумышленники рассылают электронные письма на итальянском языке с загрузчиком, замаскированным под бланк заказа (ordine_065. js).

Данный загрузчик загружает и исполняет PE-файл, содержащий ряд компонентов, основными из которых являются три модуля - Anti Module, Service и RunPe. IP-адрес ресурса (31.148.99.254), с которого загружается файл, предположительно принадлежит расположенной в Украине компании, специализирующейся на предоставлении облачных услуг.

Как выяснил исследователь, компонент Anti Module отвечает за использование различных техник уклонения от обнаружения. Он проводит проверки на предмет нахождения на виртуальной машине и при обнаружении инструментов SanBoxie, Fiddler и Wireshark меняет собственное поведение. Второй модуль пытается деактивировать различные функции Windows, например, Контроль учетных записей, Интерпретатор команд, Планировщик задач и т. д. Наконец, модуль RunPe расшифровывает и исполняет дополнительную полезную нагрузку.

Эксперт не указывает, о каком вредоносном ПО идет речь или для чего оно предназначено. По его словам, интересен тот факт, что злоумышленники используют различные методы для маскировки источника атаки. Например, в коде встречаются строки как на русском языке, так и иероглифы, однако их наличие отнюдь не говорит о том, что атака - совместная операция хакеров из РФ и Китая. Более подробный технический анализ представлен в блоге исследователя.