De beveiligers van FireEye hebben een autopsie van de downloader gepubliceerd. Hij wordt afgeleverd via e-mails met een document waar een malafide macro in wordt gebruikt. Die ouderwetse methode is al enige jaren weer helemaal terug van weggeweest. Ook het gebruik van PowerShell voor malafide opdrachten is al een tijdje in zwang.

Puntgrootte 1

De macro bevat een afbeeldingsbijschrift waar PS-code in staat die een inmiddels helaas bijna gebruikelijke paramater-ExecutionPolicy Bypass aanspreekt met instructies als (New-Object System.Net.WebClient).DownloadFile om een zipbestand te downloaden. De header staat op puntgrootte 1 en is daardoor nauwelijks te zien, zodat gebruikers die de macro activeren hem niet opmerken en geen onraad ruiken.

Interne beheertools als PowerShell worden misbruikt door onverlaten omdat menig detectietool de malafide commando's via legitiem lijkend beheergedrag niet opmerkt. Je kunt tegenwoordig als beheerder een Group Policy-edit uitvoeren (Administrative templates>Microsoft Word 2016>Word options>Security>Trust Center) om Office-macro's die van internet komen te blokkeren.