Den Einstieg bildet ein Dropper in Form eines Visual-Basic-Skripts. Beim Öffnen zeigt es eine vorgetäuschte französischsprachige Fehlermeldung an, die den Empfängern vorgaukelt, die Datei sei beschädigt. Im Hintergrund führt das stark verschleierte Skript jedoch eine Reihe von Prüfungen aus, um Sandbox-Umgebungen zu erkennen, und tritt anschließend in eine dauerhafte Schleife der Benutzerkontensteuerung (UAC) ein, die den Nutzer zur Ausführung mit Administratorrechten drängt.

Die Tarnung ist aufwendig: Von den 224.471 Zeilen des Skripts enthalten laut Securonix nur 266 tatsächlich ausführbaren Code. Der Rest besteht aus Junk-Kommentaren mit zufälligen englischen Sätzen, die die Datei auf 9,7 MB aufblähen. Über Windows Management Instrumentation (WMI) prüft die Schadsoftware zudem, ob der Rechner einer Domäne angehört. So stellen die Angreifer sicher, dass die Schadlast ausschließlich auf Unternehmensrechnern ausgeliefert wird und einzelne private Systeme außen vor bleiben.

Sobald der Dropper Administratorrechte erlangt hat, schaltet er Schutzfunktionen ab und verwischt seine Spuren: Er trägt für alle primären Laufwerksbuchstaben von C bis I Ausnahmen in Microsoft Defender ein, deaktiviert die UAC über einen Eingriff in die Windows-Registry und löscht sich anschließend selbst. Danach lädt er zwei separate, passwortgeschützte 7-Zip-Archive von Dropbox nach.

Für den Diebstahl von Zugangsdaten nutzen die Angreifer unter anderem eine Komponente, die auf dem Projekt ChromElevator aufsetzt. Damit lassen sich sensible Daten aus Chromium-basierten Browsern auslesen, indem der Schutz durch die App-Bound Encryption (ABE) umgangen wird.

Der Abfluss der Browser-Daten erfolgt über zwei mail[.]ru-Absenderkonten (“olga.aitsaid@mail.ru” und “3pw5nd9neeyn@mail.ru”), die dasselbe Passwort teilen. Per SMTP werden die Daten an eine weitere, vom Täter betriebene Adresse (“vladimirprolitovitch@duck.com”) geschickt. Sind Diebstahl und Datenabfluss abgeschlossen, räumt die Angriffskette alle abgelegten Werkzeuge aggressiv auf, um forensische Spuren zu minimieren, und lässt nur den Miner und einen Trojaner zurück.

Laut Securonix verbindet FAUX#ELEVATE mehrere bemerkenswerte Techniken zu einer einzigen, gut organisierten und mehrstufigen Infektionskette. Besonders gefährlich für Sicherheitsteams seien die Geschwindigkeit der Ausführung – rund 25 Sekunden von der ersten VBS-Ausführung bis zum Abfluss der Zugangsdaten – sowie die gezielte Auswahl domänengebundener Rechner. Dadurch liefere jeder kompromittierte Host maximalen Wert durch den Diebstahl von Unternehmens-Zugangsdaten und die dauerhafte Übernahme von Ressourcen.