Подробнее о кибератакеПосле распаковки запускается многоступенчатая атака, включающая подмену системных файлов, обфускацию кода и использование сетевой утилиты Ncat для загрузки дополнительных вредоносных компонентов. Вирус использует технику IFEO для запуска вместе с доверенными программами, в том числе системными службами, а также внедряет вредоносные DLL в процесс explorer.exe с помощью Process Hollowing. Один из компонентов маскируется под легитимный процесс StartMenuExperienceHost.exe.
