Chúng đã kết hợp những chiến dịch tán thư rác , những tài liệu Word độc hại , và mã PowerShell để phát tán mã độc không file tới mục tiêu .
Những kỹ thuật riêng lẻ không có gì mới nhưng bây giờ chúng lại được kết hợp với nhau . Điều đó cho thấy tin tặc đã chú ý hơn tới những nghiên cứu an ninh và mượn những kỹ thuật của nhau nhằm chống lại sự phát hiện xâm nhập .
Palo Alto Networks đã phát hiện ra chiến dịch như vậy và với chỉ một số lượng nhỏ thư độc hại như vậy , khoảng 1500 bức thư .
Tin tặc đã dùng thư rác để phát tán những tài liệu Word độc hại tới hệ thống nạn nhân . Nếu như Microsoft Word để chế độ cho phép chạy Macro thì bất kì lúc nào nạn nhân mở file Word độc hại Macro sẽ tự động chạy .
Palo Alto cho biết , trong chiến dịch này , mã Macro có trong mỗi tài liệu độc hại sẽ khởi động Windows PowerShell , là ngôn ngữ mạnh có từ Windows 7 , và sau đó tải những Script độc hại sẽ thực hiện bằng PowerShell .
Hỗ trợ cả 32-bit và 64-bit , những Script đầu tiên sẽ thực hiện một loạt kiểm tra . Chúng sẽ kiểm tra xem máy tính có phải là máy ảo hay không , nếu không phải máy ảo nó sẽ tiếp tục tìm kiếm một số những từ khóa trong Cache và cấu hình mạng .
Nếu nó phát hiện ra những chuỗi kí tự như bệnh viện , trường học , bác sỹ , điều dưỡng thì Script sẽ ngay lập tức ngừng thực hiện . Nếu những từ khóa tìm kiếm phát hiện thấy liên quan tới cửa hàng , kho hàng và hệ thống bán hàng , Script sẽ tải những họ mã độc them mệnh lệnh của máy chủ CnC .
Khi điều đó xảy ra , mã độc có tên là PowerSniff , viết trực tiếp tới bộ nhớ của máy tính , không động chạm tới ổ cứng của người dùng , do đó nó không bị những thủ tục kiểm tra như những công cụ chống Virus truyền thống .
Palo Alto cho biết chiến dịch này chủ yếu nhắm tới những người dùng ở những nước như Mỹ , Canada , Anh , Đức , Úc và Ba Lan .