پژوهشگران ترند مایکرو (Trend Micro) بدافزاری را شناسایی کردهاند که به صورت تروجان از روشهای متعددی برای دسترسی به سیستمها استفاده میکند. دسترسی به گذرواژههای ضعیف با استفاده از تکنیک هش، ابزارهای مدیریت ویندوز و حملات جستجوی فراگیر از جمله این موارد است. این بدافزار همچنین از اکسپلویت اترنال بلو (EternalBlue) و پاورلشل (PowerShell) برای فرار از تشخیص و انتشار در سرتاسر شبکه استفاده میکند.
روش اولیه انتشار بدافزار شامل استفاده از اعتبار ضعیف است. زمانی که دستگاهی آلوده میشود، تروجان یک آدرس MAC را درخواست کرده و لیستی از محصولات آنتیویروس نصب شده روی دیوایس را جمع آوری میکند. سپس یک کد مبهمسازی پاورشل دیگر با نام Trojan.PS1.PCASTLE.B را از سرور C2 دانلود میکند. پاورشل دانلود شده مسئول دانلود و اجرای مولفه بدافزار است.
مولفه سوم جاسوسافزاری است که با شناسه TrojanSpy.Win32.BEAHNY.THCACAI ردیابی شده است. این تروجان قادر است اطلاعات سیستم از جمله نام کامپیوتر، GUID، نسخه OS، اطلاعات حافظه گرافیک و زمان سیستم را جمعآوری کند.مولفه چهارم به تکثیر هر چه بیشتر بد افزار کمک میکند. بدافزار با استفاده از گذرواژه ضعیف SQL سعی میکند به سرورهای پایگاه داده آسیبپذیر دسترسی پیدا کرده و دستورات پوسته (Shell) را اجرا کند. پژوهشگران دریافتند که این بدافزار پیچیده به طور خاص برای آلوده کردن تعداد زیادی از ماشینها طراحی شده است، بدون اینکه امکان شناسایی سریع آن وجود داشته باشد. با در نظر گرفتن محبوبیت فزاینده پاورشل و عمومی شدن بیش از پیش کدههای منبع باز، میتوانیم در آینده شاهد بدافزارهای پیچیدهتری از این دست باشیم.