Idatloader terjesztése
A Kroll Managed Detection and Response (MDR) csapata egy olyan incidensre reagált, amelyben a feltételezett rosszindulatú szoftverek furcsa letöltési viselkedést mutattak.
A vizsgálat során egy összetett fertőzési láncot fedeztek fel, amely több rétegű obfuszkációt tartalmazott, és amelyet az Idatloader terjesztésére használtak. Ez végül információlopó rosszindulatú szoftverek telepítését eredményezte. A fertőzés a Microsoft mshta.exe programját használta a PGP titkos kulcsnak álcázott, speciálisan kialakított fájlba rejtett kód végrehajtásához. A kampány az általános technikák újszerű adaptációit és erős homályosítást alkalmazott, hogy a rosszindulatú kódot elrejtse a felderítés elől, amelynek mértékét az alábbiakban ismertetjük.
Az incidens során az áldozat egy bollywoodi kalózfilmek letöltésére szolgáló oldalra lépett be. Amikor az áldozat megpróbált letölteni egy videót, egy Bunny CDN-en tárolt oldalra irányították, amely egy bit[.]ly linket adott, amely végül egy ZIP-fájlt töltött le.