Nach Angaben von Securonix beginnt die Angriffskette mit einer JavaScript-Datei, die sich als Dokument ausgibt. Ihr Zweck ist es, PowerShell-Code zu starten und Ausführungsrichtlinien zu umgehen. Dieser PowerShell-Code lädt dann weitere Nutzlasten von Blogspot-Seiten nach, die von den Angreifern kontrolliert werden.
Die über Blogspot bereitgestellte Nutzlast zeigt zunächst ein Köderdokument an, beendet bestimmte Prozesse und entschlüsselt eingebettete Inhalte. Der decodierte Code erzeugt weitere Blogspot-Adressen und führt nachfolgende Payloads direkt im Arbeitsspeicher aus. Securonix beschreibt den Aufbau damit als mehrstufiges System, das auf eine möglichst unauffällige Ausführung abzielt.
Besonders hebt das Unternehmen einen Loader der zweiten Stufe hervor. Dieser enthalte XOR-codierte .NET-Assemblies, die als große eingebettete Datenblöcke gespeichert und erst zur Laufzeit rekonstruiert und entschlüsselt würden. Nach Einschätzung von Securonix erschwert das eine einfache statische Analyse und verringert die Wirksamkeit signaturbasierter Erkennungsmechanismen.
Hinzu kommen mehrere Ausweichmechanismen. Laut Securonix missbraucht die Infektionskette vertrauenswürdige, von Microsoft signierte Binärdateien, um Code auszuführen und Schutzmechanismen zu umgehen. Das Unternehmen nennt in diesem Zusammenhang die Kombination aus kompromittierten Websites, Tarnung über mehrere Dateiendungen, vertrauenswürdigen Cloud-Diensten, XOR-verschleierten Payloads, reflektivem .NET-Laden, dateiloser Ausführung und dem Missbrauch sogenannter LOLBINs als gezielten Versuch, herkömmliche Antivirenlösungen zu umgehen, forensische Spuren zu reduzieren und während des gesamten Ablaufs verborgen zu bleiben.
Am Ende der Kette wird PureLog Stealer installiert. Der auf .NET basierende Infostealer führt laut Securonix zunächst eine Systemaufklärung durch und beginnt dann mit dem Abgreifen von Daten aus Google Chrome, Microsoft Edge, Firefox, Brave, Opera und Chromium-basierten Browsern. Im Fokus stehen Zugangsdaten, Cookies, Autofill-Daten, Sitzungstoken, Browserverläufe und weitere sensible Informationen, die in den Browsern gespeichert sind.
Darüber hinaus sucht die Malware auf dem kompromittierten System nach Informationen zu Kryptowallets. Außerdem kann PureLog Stealer laut Securonix Daten aus Messaging-Anwendungen, E-Mail-Clients, Fernzugriffssoftware, FTP-Clients, Cloud-Speicher-Anwendungen, Entwicklerwerkzeugen und Passwortmanagern einsammeln. Die erbeuteten Informationen werden anschließend gebündelt und in verschlüsselter Form an Server der Angreifer übertragen.
Securonix weist darauf hin, dass ein einzelner infizierter Arbeitsplatzrechner wegen der weitreichenden Datensammelfunktionen von PureLog Stealer auch weitergehende Kompromittierungen in einer Umgebung nach sich ziehen könne — abhängig davon, welche Zugangsdaten, Token, Schlüssel und sonstigen Geheimnisse auf dem System gespeichert sind. In Unternehmensumgebungen seien Infostealer laut Securonix häufig die erste Stufe größerer Eindringkampagnen. Gestohlene Zugangsdaten könnten später genutzt werden, um Ransomware zu verteilen, Datendiebstahl durchzuführen, Angriffe auf geschäftliche E-Mail-Kommunikation zu starten oder langfristige Spionageaktivitäten zu ermöglichen.
