需要說明的是,目前使用西裏爾字母的文字包括俄語、烏克蘭語、盧森尼亞語、白俄羅斯語、保加利亞語、塞爾維亞語和馬其頓語等,而PIK恰好就是俄羅斯的壹家房地產公司,擁有超過1.4萬名員工。也就是說,攻擊者顯然試圖將電子郵件偽裝成來自PIK公司,從而借助該公司的聲譽開展攻擊活動。
Marco Ramilli表示,攻擊者使用了多種混淆技術來對該腳本JavaScript進行混淆處理。其中,在感染第壹階段階段存在兩個主要的混淆流:
該腳本最終會釋放並執行壹個虛假的圖像文件“msg.jpg”,該文件實際上是壹個經過UPX加殼的Windows PE文件,被用於感染的第二階段。
在感染的第二階段,三個額外的模塊會被釋放並執行:壹個後門木馬、壹個挖礦腳本和壹種此前曾被廣泛報道過的勒索病毒——Troldesh。
分析表明,第壹個被釋放的模塊(327B0EF4.exe)與Troldesh非常相似。該勒索病毒會在加密目標文件之後對其進行重命名並附加壹個“.crypted00000”擴展名。舉例來說,當壹個名為“1.jp”的文件在被加密之後,其文件名就會被重命名為“hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007”。同時,Troldesh還會篡改計算機桌面的壁紙,以顯示勒索信息:
第二個被釋放的模塊(37ED0C97.exe)是被證實壹個名為“nheqminer”的挖礦腳本,被用於挖掘大零幣(Zcash,壹種加密貨幣)。
第三個安裝被釋放的模塊(B56CE7B7.exe)則被證實是Heur木馬,該木馬的主要功能是針對WordPress網站實施暴力破解,曾在2017年被廣泛報道。
根據Marco Ramilli的說法,該木馬的典型行為與HEUR.Trojan.Win32.Generic非常相似,包括:
壹旦該木馬安裝成功,就會通過暴力破解來尋求弱口令憑證,而壹旦發現了弱口令憑證,就將pik.zip復制到這些WordPress網站中。
Marco Ramilli認為,此次攻擊活動背後的攻擊者顯然試圖通過多種渠道來牟利——勒索病毒和加密貨幣挖礦腳本。此外,攻擊者還試圖通過受感染計算機來暴力破解並控制隨機的WordPress網站。這樣的攻擊活動工作量顯然非常大,且很容易被檢測到。因此,攻擊者不太可能是某個國家黑客組織,而只是壹群想要同時通過多種方式來牟利的網絡犯罪分子。