PSLoramyra
A PSLoramyra egy fejlett, fájl nélküli betöltő (loader), amely PowerShell, VBS és BAT szkripteket használ rosszindulatú payloadok memóriába történő injektálására és végrehajtására, minimális nyomot hagyva a rendszeren.
A támadás egy PowerShell szkripttel indul, amely három fájlt hoz létre: roox.ps1, roox.bat és roox.vbs. Ezek a fájlok egymást követően hajtódnak végre, végül a roox.ps1 szkript betölti a fő rosszindulatú payloadot a memóriába a Reflection.Assembly.Load metódussal, majd a RegSvcs.exe segítségével futtatja azt. Ebben az esetben a payload a Quasar RAT. A PowerShell szkript a Windows Feladatütemező segítségével perzisztenciát biztosít, létrehozva egy feladatot, amely kétpercenként futtatja a roox.vbs szkriptet. Ez biztosítja a rosszindulatú kód folyamatos jelenlétét a rendszerben.
Az ANY.RUN szandbox lehetőséget biztosít a PSLoramyra részletes vizsgálatára, beleértve a szkriptinjektálás és a memóriában történő végrehajtás folyamatának megfigyelését. Ez lehetővé teszi a kutatók számára, hogy megértsék a fájl nélküli malware-ek működését és fejlett perzisztencia-technikai alkalmazását.