ظهور بدافزاری در قالب مترجم گوگل
محققان در گزارشی اعلام کردهاند که این بدافزار بهطور عمدی نصب و اجرای کد مخرب را تا یک ماه به تاخیر میاندازد تا از شناسایی توسط راهکارهای امنیتی جلوگیری کند. طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامههای آلوده از سایت Nitrokod دانلود میشوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است را دریافت میکند. برای جلوگیری از ایجاد حساسیت و جلبتوجه کاربر و خنثیکردن قابلیتهای تحلیل بدافزار (Sandbox)، نرمافزار یادشده، فایل فراخوانیکننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال میکند که از طریق Wget دریافت شده است. در مرحله بعد، نرمافزار تمام لاگهای سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از « intelserviceupdate[. ]com » بازیابی میکند.
بدافزار، وجود نرمافزار ضدویروس را بررسی کرده، ضمن جستوجوی پروسههای متعلق به ماشینهای مجازی، از یکسری روالهای ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده میکند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه میکند، در نهایت یک بدافزار استخراجکننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.sys» را بازیابی میکند.