为了隐匿恶意程式的行踪,骇客利用恶意程式下载工具(Downloader)来投放有效酬载的情况越来越普遍,但如今骇客也试图在记忆体内执行这类作案工具,防止资安侦测工具在电脑或伺服器磁碟发现其运作的痕迹。
根据LNK档的命令,大致可分成两种,其中一种是滥用公用程式forfiles.exe寻找win.ini档案,并启动PowerShell,然后透过公用程式mshta.exe从特定网域搜寻下载、执行第二阶段酬载;另一种则是直接执行PowerShell,启动mshta.exe下载有效酬载,但特别的是,攻击者下达命令时,会用到万用符号,但为何要这么做,研究人员没有解释。
但无论透过何种方式进行后续的攻击流程,电脑都会从CDN取得JavaScript恶意程式载入工具(Dropper),研究人员看到对方使用两种混淆手法,其中一种是使用十六进位字元进行处理,另一种则是采用Base64编码。
而这些载入工具最终于受害电脑植入PeakLight,此为PowerShell打造的作案工具,同样骇客也经过混淆处理。其中,有部分的版本会在电脑载入MP4影片做为诱饵,降低受害者的戒心。