Eine von Aryaka analysierte schädliche ISO-Datei enthielt vier Komponenten: eine als PDF getarnte Windows-Verknüpfung (.LNK), ein PowerShell-Skript, ein Bild und eine .ICO-Datei. Die Verknüpfung startet PowerShell und führt das Skript aus, das mittels Steganografie in der Bilddatei versteckte Daten extrahiert und direkt im Arbeitsspeicher ausführt.

Der Code lädt zusätzlich ein ZIP-Archiv herunter, das eine legitime SumatraPDF-Programmdatei sowie eine schädliche DLL (DWrite.dll) enthält. Letztere wird über die Technik des DLL-Sideloading geladen. Anschließend erstellt die Malware einen Fingerabdruck des Systems und sendet die Informationen an den C2-Server. Vor der weiteren Ausführung prüft sie die Umgebung umfassend und bricht ab, sobald Sandboxes, virtuelle Maschinen oder Debugging-Werkzeuge erkannt werden.

Die Malware verändert zudem die Einstellungen von Windows Defender, um den Schutz auf dem Host zu schwächen, führt Schreibtests auf der Festplatte durch und lädt weitere Payloads vom C2 nach. Diese werden per Process Hollowing innerhalb legitimer Prozesse ausgeführt.

Ein Schlüsselelement der Kampagne ist die ausführbare Datei BlackSanta. Der EDR-Killer fügt für Dateien mit den Endungen “.dls” und “.sys” Ausnahmen in Microsoft Defender hinzu und ändert einen Registry-Wert, um die Telemetrie und die automatische Übermittlung von Beispieldateien an die Sicherheits-Cloud-Endpunkte von Microsoft zu reduzieren. Laut dem Bericht der Forscher kann BlackSanta außerdem Windows-Benachrichtigungen unterdrücken, um Warnmeldungen für den Nutzer zu minimieren oder vollständig auszuschalten. Seine Kernaufgabe besteht darin, Sicherheitsprozesse zu beenden.

Über die analysierte Infrastruktur identifizierten die Forscher weitere vom selben Akteur genutzte IP-Adressen, die mit der Kampagne in Verbindung stehen. Auf diesem Weg erkannten sie, dass die Operation bereits seit rund einem Jahr unbemerkt lief.

Die IP-Adressen führten die Forscher zudem auf Bring-Your-Own-Driver-Komponenten (BYOD): Die Malware lud den RogueKiller-Antirootkit-Treiber v3.1.0 von Adlice Software sowie IObitUnlocker.sys v1.2.0.1 von IObit herunter. Beide Treiber wurden bereits in früheren Malware-Operationen eingesetzt, um erhöhte Rechte auf kompromittierten Rechnern zu erlangen und Sicherheitswerkzeuge auszuhebeln. RogueKiller (truesight.sys) erlaubt die Manipulation von Kernel-Hooks und die Überwachung des Arbeitsspeichers, während IObitUnlocker.sys das Umgehen von Datei- und Prozesssperren ermöglicht. In Kombination verschafft dies der Malware tiefgreifenden Zugriff auf Systemspeicher und Prozesse.

Nach Einschätzung der Aryaka-Forscher zeigt der Bedrohungsakteur ein hohes Maß an operativer Sicherheit und setzt auf kontextbewusste, unauffällige Infektionsketten, um Komponenten wie BlackSanta einzuschleusen.