资安业者Fortinet上个月察觉而在窃资软体的启动过程里,恶意酬载会执行一连串的检查,避免在沙箱或是虚拟机器运作,然后从加密货币钱包、Chrome、Firefox等浏览器,以及AnyDesk、Discord、FileZilla、Signal、Skype、Steam、Telegram等网路应用程式收集用户资讯,再者,该窃资软体也会从特定资料夹收集敏感资料,并使用JSON字串外流资料。
特别的是,攻击者也能透过远端伺服器指定收集的资料标的,使得窃取资料的范围变得更加弹性。