El ataque se genera a través de phishing mediante correo electrónico altamente dirigidos (spearphishing) que inducen a la víctima a abrir un sitio comprometido o descargar un archivo Word (document.exe). El documento contiene un archivo comprimido incrustado que, al abrirse, lanza un ejecutable (basado en un ejemplo wxWidgets) que actúa como loader de múltiples etapas. Las imágenes que usa el atacante son en su mayoría fotos de personajes famosos. El ejecutable de primera etapa desempaqueta recursos cifrados en C:\ProgramData\Windows. El cifrado usado es sencillo: los investigadores observaron una rutina de resta byte-a-byte con el valor 0x41 para derivar las cargas útiles en una etapa posterior. Los módulos principales suelen llamarse maindll.db y elsedll.db y se cargan en memoria.
-1.jpg)
