Nach Angaben von Securonix lädt das erste PowerShell-Skript die nächste Stufe von „htlwub00klocate.blogspot[.]com“ nach. Die nachgeladene PowerShell-Nutzlast dient dann als Tarnung und Transportweg zugleich: Sie öffnet eine harmlose Webseite wie Google, damit der Eindruck entsteht, ein PDF-Dokument sei geöffnet worden, während die eigentliche Infektion im Hintergrund weiterläuft. Am Ende dieser Kette steht PureLogs Stealer, ein auf .NET basierender Informationsdieb, der auf kompromittierten Systemen zahlreiche sensible Daten abgreift.
Die Forscher Akshay Gaikwad, Shikha Sangwan und Aaron Beardslee beschreiben zudem mehrere Funktionen des PowerShell-Loaders, die auf Verschleierung und Spurenverwischung abzielen. Das Skript versucht demnach, die Ausführung nachfolgender PowerShell-Befehle ohne Einschränkungen sicherzustellen, Prozesse wie „wscript.exe“ zu beenden, um forensische Spuren zu minimieren, die Datei „transcript.pdf.js“ zu löschen und eine eingebettete Nutzlast zu entschlüsseln.
Nach erfolgreicher XOR-Entschlüsselung wechselt der Ablauf laut Securonix zu einem besonders ausweichstarken Bestandteil des Frameworks: einer dynamischen Erzeugung weiterer Stufen in Kombination mit Laufzeitmutation. Anstatt mit fest eincodierten Adressen oder vorhersehbaren Ausführungsmustern zu arbeiten, setzt die Malware die Adresse der nächsten Stufe erst während der Ausführung zusammen.
Konkret wird für jeden Lauf eine eigene blogspot[.]com-Adresse konstruiert, indem eine zufällige Anzahl von Schrägstrichen in die URL eingefügt wird. Laut Securonix soll das statische URL-Signaturen, indikatorbasierte Sperren und URL-Filtermechanismen umgehen. Zusätzlich ersetzt das dekodierte Skript Platzhalterwerte zur Laufzeit durch zufällig erzeugte Zeichenfolgen und Werte. Diese Variabilität dient dazu, Skriptsignaturen und Dateihashes zu unterlaufen und eine verlässliche Erkennung zu erschweren.
Das rekonstruierte Skript wird anschließend vollständig im Speicher ausgeführt, ohne Artefakte auf dem Datenträger zu hinterlassen. Dieser Teil fungiert als Loader für die Kernkomponente der Malware, eine .NET-Assembly, die per reflektierendem Code-Laden gestartet wird. Falls Sicherheitskontrollen oder andere Umgebungsbeschränkungen die direkte Ausführung der wiederhergestellten .NET-Assembly aus dem Speicher verhindern, greift der Loader laut Securonix auf eine Ausweichmethode zurück.
Dabei werden von Microsoft signierte Binärdateien wie „regsvcs.exe“, „installutil.exe“, „msbuild.exe“ und „aspnet_compiler.exe“ genutzt, um dasselbe Ziel unauffällig zu erreichen. Weil diese Programme bereits auf dem System vorhanden und vertrauenswürdig signiert sind, lässt der Living-off-the-Land-Ansatz die Aktivität legitim erscheinen. Besonders auffällig ist laut den Forschern, dass sich der Loader nicht auf ein einzelnes LOLBin stützt. Stattdessen folgt die Ausführung einem kaskadierenden Modell, bei dem nacheinander mehrere Methoden ausprobiert werden, bis eine funktioniert.
Securonix bewertet die Kombination aus kompromittierten Websites, Tarnung über mehrfache Dateiendungen, missbrauchter vertrauenswürdiger Cloud-Infrastruktur, XOR-verschleierten Nutzlasten, reflektierendem .NET-Laden, dateiloser Ausführung und LOLBin-Missbrauch als gezielten Versuch, klassische Antivirenlösungen zu umgehen, forensische Spuren zu reduzieren und während des gesamten Infektionsablaufs unauffällig zu bleiben.
