Nach Darstellung von Microsoft beginnt die Infektion damit, dass die Angreifer schädliche VBS-Dateien über WhatsApp-Nachrichten verteilen. Wird eine solche Datei ausgeführt, legt sie im Verzeichnis “C:\ProgramData” versteckte Ordner an und platziert umbenannte Kopien legitimer Windows-Werkzeuge. So wird etwa “curl.exe” zu “netapi.dll” und “bitsadmin.exe” zu “sc.exe” umbenannt, um unauffällig zu bleiben.
Nach diesem ersten Zugriff zielen die Täter darauf ab, Persistenz herzustellen und ihre Rechte auszuweiten. Über die umbenannten Programme laden sie weitere VBS-Dateien nach, die auf AWS S3, Tencent Cloud und Backblaze B2 gehostet sind. Am Ende dieser Kette stehen schädliche MSI-Pakete, die auf den Systemen der Opfer installiert werden.
Sobald die Folgekomponenten vorhanden sind, beginnt die Schadsoftware laut Microsoft, die Einstellungen der Benutzerkontensteuerung (User Account Control, UAC) zu manipulieren, um die Systemabwehr zu schwächen. Dabei versucht sie wiederholt, “cmd.exe” mit erhöhten Rechten zu starten, und wiederholt diesen Vorgang so lange, bis die UAC-Anhebung gelingt oder der Prozess erzwungen beendet wird. Zugleich verändert sie Registry-Einträge unter “HKLM\Software\Microsoft\Win” und verankert Mechanismen, die die Infektion auch über Neustarts hinweg bestehen lassen.
Durch das Zusammenspiel aus Registry-Manipulation und UAC-Bypass erlangen die Angreifer erhöhte Rechte, ohne dass der Nutzer eingreifen muss, und bringen anschließend unsignierte MSI-Installer aus. Darunter befinden sich auch legitime Werkzeuge wie AnyDesk, die den Tätern dauerhaften Fernzugriff verschaffen. Auf diesem Weg können sie Daten exfiltrieren oder weitere Schadsoftware nachladen.
Microsoft wertet die Kampagne als ausgefeilte Infektionskette, die Social Engineering über WhatsApp, Tarntechniken wie umbenannte legitime Werkzeuge und versteckte Dateiattribute sowie das Hosting von Schadcode in der Cloud miteinander verbindet.
