2021年9月被揭露、骇客曾大肆利用的研究人员提及,骇客精心设计这个HTML档案,为了埋藏攻击意图,他们在档案开头填满无害的指令码,并在文件结尾隐藏Shell Code及注入的处理程序。
一旦启动,这个HTML档案便会检查受害电脑的作业系统组态,并解开嵌入的Shell Code,然后撷取Windows作业系统的API「VirtualProtect」和「CreateThread」。
这些骇客先是利用VirtualProtect窜改记忆体的权限,将Shell Code写入记忆体,接著透过CreateThread来执行。研究人员指出,对方这么做是为了确保恶意程式码能顺利执行。
而这个Shell Code的主要功能,是充当恶意程式下载工具,从远端伺服器下载佯装成Google软体更新的恶意程式,然后对其进行解码并执行其中的有效酬载。而这个恶意程式经过深度的编码处理,能够成功地躲避标准的安全防护功能。
经由上述过程植入受害电脑的有效酬载,受到VMProtect保护,并将间谍软体MerkSpy注入系统处理程序,而能在系统内秘密运作。