Der Ablauf nach der ersten Kompromittierung unterscheidet sich von bekannten ClickFix-Varianten. Fügt das Opfer einen von der Köderseite kopierten, hex-codierten und per XOR komprimierten Befehl in eine Windows-Terminal-Sitzung ein, öffnet dieser weitere Terminal- und PowerShell-Instanzen. Am Ende ruft er einen PowerShell-Prozess auf, der das eigentliche Skript dekodiert.

Darauf folgt der Download eines ZIP-Archivs sowie einer legitimen, aber umbenannten 7-Zip-Binärdatei, die mit zufällig erzeugtem Dateinamen auf der Festplatte abgelegt wird. Das Werkzeug entpackt anschließend den Inhalt des ZIP-Archivs und stößt damit eine mehrstufige Angriffskette an.

Nach Angaben von Microsoft zielt der Stealer auf hochwertige Browser-Artefakte ab, darunter die Dateien Web Data und Login Data. Dabei werden gespeicherte Zugangsdaten abgegriffen und an eine von den Angreifern kontrollierte Infrastruktur übertragen.

Microsoft beobachtete zudem einen zweiten Angriffspfad. Wird der komprimierte Befehl ins Windows Terminal eingefügt, lädt er über cmd.exe ein zufällig benanntes Batch-Skript in den Ordner “AppData\Local” und schreibt damit ein Visual-Basic-Skript in den Temp-Ordner (%TEMP%).

Das Batch-Skript wird anschließend über cmd.exe mit dem Befehlszeilenargument /launched ausgeführt und danach erneut über MSBuild.exe gestartet, was auf den Missbrauch legitimer Systemwerkzeuge (LOLBin) hinausläuft. Laut Microsoft verbindet sich das Skript mit RPC-Endpunkten einer Krypto-Blockchain, was auf die Technik des EtherHiding hindeutet. Außerdem führt es eine Code-Injektion auf Basis von QueueUserAPC() in die Prozesse chrome.exe und msedge.exe durch, um die Dateien Web Data und Login Data zu erbeuten.