旨在消除一堆惡意軟件

根據Cisco Talos的分析師的說法，該活動旨在至少減少三個有效載荷：特工Tesla，Loki和Gamarue。所有這些都能夠竊取信息，而且只有Loki缺乏遠程訪問功能。

攻擊以包含Word文檔（DOCX）的電子郵件開始，該文檔包括用于下載和打開RTF文件的例程，該文件提供最終的有效負載。這個RTF沒有被注意到。

58個防病毒程序中只有兩個發現任何可疑的東西。標記此樣本的程序僅警告格式錯誤的RTF文件.AhnLab-V3將其標記為'RTF / Malform-A.Gen'，而Zoner表示可能標志為'RTFBadVersion'，“研究人員今天在一份報告中寫道。

防病毒規避的變化

研究人員表示，對漏洞鏈進行的修改使包含下載惡意軟件程序的文檔無法被常規防病毒解決方案檢測到。

有效載荷丟棄鉆取的秘密依賴于RTF文件格式的特殊性，它支持通過OLE（對象鏈接和嵌入）嵌入對象，并使用大量控制字來定義它所擁有的內容。

除此之外，常見的RTF解析器通常會忽略它們不知道的內容，結果是隱藏漏洞利用代碼的完美組合。在這種情況下，用戶不必更改Microsoft Word的設置或單擊任何內容來觸發漏洞利用。

RTF與OLE對象的控制字

RTF文件結構中的混淆并不是唯一有助于文檔未被檢測到的東西。更深入的分析顯示攻擊者更改了OLE Object頭的值。

在標題之后，他們添加了關于看起來像字體標記的數據，但結果證明它是Microsoft Office中CVE-2017-11882內存損壞漏洞的漏洞。

修改了標題信息

研究人員表示，無論手動修改還是使用工具進行修改，該技術都是危險的。這些更改處于較低級別，并使一切看起來不同，但它使用的漏洞代碼已在其他廣告系列中看到過。

惡意軟件功能

區塊鏈安全咨詢公司 曲速未來 提醒：特斯拉特工被稱為“復雜的信息竊取木馬”，作為合法的鍵盤記錄實用程序銷售。然而，研究人員質疑該工具的合法功能，稱它具有25種常見應用程序的密碼竊取功能，如流行的Web瀏覽器，電子郵件和FTP客戶端。

Loki惡意軟件嚴格屬于信息竊取類別，希望獲取密碼。它經常被廣告宣傳，它的描述補充說它也可以針對加密貨幣錢包。

至于Gamarue系列威脅，它在為僵尸網絡牧民提供新機器人方面有著良好的記錄。它是一種蠕蟲，因此可以快速傳播到易受攻擊的系統，讓操作員可以訪問它們。雖然它不是專業，但Gamarue可用于竊取敏感信息。