研究人员表示,开发该恶意程式的犯罪集团正积极推广骇客运用,起因是今年发布第一代Octo的原始码外流,导致有其他骇客开发衍生版本瓜分原本使用Octo的骇客。因此,原开发团队积极发布新的Octo2,并对该恶意程式持续进行改良,目的就是希望吸引用户回头。
Octo2主要改进的层面当中,大多集中于远端控制连线及装置接管攻击的程式稳定性,其中一种是能够借由减少网路传输到C2的资料量,,并降低恶意程式传送到C2的萤幕截图品质,而能提高连线的稳定性。
但除了上述的运作稳定性,骇客导入更刁钻的手法来回避侦测也相当值得留意,新版恶意程式骇客实作更为复杂的混淆机制,其启动过程必须解密、动态载入额外的本机程式库,然后密码有效酬载、产生加密金钥,以及C2网域名称,而其中的C2网域名称,骇客以日期为基础,打造一种网域名称生成演算法(DGA),来产生C2伺服器的名称。