ظهور بدافزاری در قالب مترجم گوگل

محققان در گزارشی اعلام کرده‌اند که این بدافزار به‌طور عمدی نصب و اجرای کد مخرب را تا یک ماه به تاخیر می‌اندازد تا از شناسایی توسط راهکارهای امنیتی جلوگیری کند. طبق اعلام مرکز مدیریت راهبردی افتا، فارغ از اینکه کدام یک از این برنامه‌های آلوده از سایت Nitrokod دانلود می‌شوند، کاربر یک فایل RAR محافظت شده با رمز عبور (Password-protected RAR) که شامل فایل اجرایی برنامه دانلود شده است‌ را دریافت می‌کند. برای جلوگیری از ایجاد حساسیت و جلب‌توجه کاربر و خنثی‌کردن قابلیت‌های تحلیل بدافزار (Sandbox)، نرم‌افزار یادشده، فایل فراخوانی‌کننده بدافزار (Dropper) را از یک فایل RAR رمزگذاری شده دیگر فعال می‌کند که از طریق Wget دریافت شده است. در مرحله بعد، نرم‌افزار تمام لاگ‌های سیستم را با استفاده از دستورات PowerShell پاک کرده و پس از مدتی، RAR رمزگذاری شده بعدی را از « intelserviceupdate[. ]com » بازیابی می‌کند.

بدافزار، وجود نرم‌افزار ضدویروس را بررسی کرده، ضمن جست‌وجوی پروسه‌های متعلق به ماشین‌های مجازی، از یکسری روال‌های ضد شناسایی و ضد تحلیل برای دورزدن محصولات امنیتی استفاده می‌کند و در نهایت یک قاعده به مجموعه قواعد فایروال و یک استثنا به Windows Defender اضافه می‌کند، در نهایت یک بدافزار استخراج‌کننده رمزارز XMRig، کنترلر آن و یک فایل تنظیمات با پسوند «.‌sys» را بازیابی می‌کند.