Laut den Unit-42-Forschern Bharath Nannaka und Pranay Kumar Chhaparwal beginnt der Angriff mit einem Klick auf eine schädliche Online-Anzeige für angeblich piratisierte oder geknackte Software. Diese Anzeige leitet auf von den Angreifern kontrollierte Websites weiter, auf denen passwortgeschützte Archive als legitime Software-Installer getarnt sind.

Der Passwortschutz ist den Forschern zufolge bewusst gewählt. Er solle das Scannen durch E-Mail-Gateways umgehen und verhindern, dass automatisierte Sandboxes die Dateien ohne Passwort detonieren. Zugleich vermittle das Passwort dem Download einen Anschein von Seriosität, der misstrauische Nutzer täuschen könne.

Wird die heruntergeladene Datei gestartet, setzt ein in Go geschriebener Loader mehrere Abwehrumgehungen ein, darunter eine AMSI-Umgehung im Arbeitsspeicher, bevor er seine Nutzlasten ausliefert. Der Loader nutzt nach Angaben von Unit 42 das Go-Framework Factory-v3, das pro Build ein eigenes Binärprogramm erzeugen kann. Die Forscher beobachteten 27 unterschiedliche Build-UUIDs in 43 Proben, was hashbasierte Erkennung aushebeln soll.

Zusätzlich ist der Loader mit einem gefälschten Zertifikat für JustWatch signiert, einen Streaming-TV-Guide. Außerdem fällt die Datei durch eine ungewöhnlich große Größe auf, die mittels Auffüllen mit Null-Bytes erreicht wird. Auch das dient laut Unit 42 dazu, automatisierte Analysen zu umgehen.

Nach der Ausführung installiert der Loader Vidar. Die Malware erfasst Browser-Zugangsdaten, Cookies, den Browserverlauf, Autofill-Daten und Dateien von Kryptowallets. Parallel dazu wird XMRig ausgebracht, das unauffällig im Hintergrund Monero mit der CPU des Opfers schürft. Für Beständigkeit sorgt der Loader über Windows-Registry-Run-Keys und geplante Aufgaben, damit die Malware Systemneustarts übersteht.

Unit 42 bewertet die Kampagne als Beispiel für eine doppelte Monetarisierung. In dem Bericht schreiben die Forscher, der Betreiber setze auf ein Modell mit zwei Einnahmequellen: Zugangsdaten und Sitzungscookies aus Vidar würden auf kriminellen Log-Märkten verkauft, während XMRig laufende Einnahmen aus gekaperten CPU-Ressourcen liefere. Ein weiterer Baustein, das Factory-v3-Framework für den Bau von MaaS-Schadsoftware, scheint nach Einschätzung der Forscher zudem als separater vorgelagerter Dienst für mindestens zwei unterschiedliche Stealer-Partner zu dienen.

Denis Calderone, Principal und Technikchef des Anbieters für KI-Sicherheitslösungen Suzu Labs, sieht die Umgehungstechniken besonders auf Schutzmechanismen kleiner und mittlerer Unternehmen zugeschnitten. Gegenüber Dark Reading erklärte er, auf fast 500 MByte aufgeblähte Binärdateien würden Dateigrößenlimits vieler Sandboxes kleiner Organisationen stillschweigend umgehen. Hinzu kämen gefälschte Code-Signing-Zertifikate mit bekannten Markennamen sowie die AMSI-Umgehung, die die Skriptprüfung abschalte, noch bevor die eigentliche Stealer-Logik anlaufe.

Zur Abwehr enthält der Bericht von Unit 42 eine Liste von Kompromittierungsindikatoren, darunter Angaben zur Code-Signierung, Serveradressen, Hashes und Dateipfade. Die Forscher empfehlen, die Microsoft-Authenticode-Kettenvalidierung strikt durchzusetzen und durch Maßnahmen wie das Blockieren von Zertifikat-Seriennummern zu ergänzen. Sicherheitswerkzeuge sollten Dateien unabhängig von ihrer Größe prüfen, zudem rät Unit 42 zur Überwachung des Ladens von MpClient.dll aus unüblichen Pfaden. Laut Bericht sollten Verteidiger außerdem die beschriebenen Persistenzindikatoren und Dateiablage-Muster aktiv suchen und ausgehende Verbindungen zu sämtlichen C2-Adressen sowie zu pool.supportxmr[.]com umgehend blockieren.