El atacante utiliza el Instalador avanzado para empaquetar otros instaladores de software legítimos, como Adobe Illustrator, Autodesk 3ds Max y SketchUp Pro, con scripts maliciosos y utiliza la función Acciones personalizadas del Instalador avanzado para hacer que los instaladores de software ejecuten los scripts maliciosos.
La naturaleza de las aplicaciones troyanizadas indica que las víctimas probablemente abarcan los sectores de arquitectura, ingeniería, construcción, manufactura y entretenimiento.
Los instaladores de software utilizan predominantemente el idioma francés, una señal de que se está señalando a los usuarios de habla francesa. Los datos de solicitud de DNS enviados a la infraestructura del atacante muestra que la huella de victimología se extiende por Francia y Suiza, seguida de infecciones esporádicas en EE. UU., Canadá, Argelia, Suecia, Alemania, Túnez, Madagascar, Singapur y Vietnam.
Los ataques culminan con la implementación de un M3_Mini_Rat, un script de PowerShell que probablemente actúa como una puerta trasera para descargar y ejecutar amenazas adicionales, así como múltiples familias de malware de minería de criptomonedas como PhoenixMiner y lolMiner.
En cuanto al vector de acceso inicial, se sospecha que se pueden haber empleado técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para entregar los instaladores de software manipulados a las máquinas de la víctima.
El instalador, una vez iniciado, activa una cadena de ataque de varias etapas que elimina el código auxiliar del cliente M3_Mini_Rat y los archivos binarios del minero. «El cliente M3_Mini_Rat es un script de PowerShell con capacidades de administración remota que se centra principalmente en realizar reconocimiento del sistema y descargar y ejecutar otros archivos binarios maliciosos», dijo Raghuprasad.
El troyano está diseñado para contactar con un servidor remoto, aunque actualmente no responde, lo que dificulta determinar la naturaleza exacta del malware que pudo haberse distribuido a través de este proceso.
