Onderzoekers van anti-virusbedrijf Kaspersky Lab hebben een malware-exemplaar ontdekt dat kijkt of de besmette computer geschikt is voor ransomware of dat er beter een cryptominer kan worden geïnstalleerd. Voor de verspreiding van de malware wordt er van e-mailbijlagen gebruikgemaakt.

De bijlagen bevatten een Word-document dat van een embedded uitvoerbaar bestand is voorzien en de gebruiker vraagt om binnen Word Bewerken in te schakelen. Als gebruikers op het embedded bestand klikken verschijnt er een waarschuwing van Windows User Account Control. Wanneer de gebruiker het bestand toestaat om aanpassingen aan de computer te maken wordt er een downloader uitgevoerd. Deze downloader bepaalt met welke malware de computer wordt geïnfecteerd.

Hiervoor kijkt de downloader naar de aanwezigheid van een map genaamd "Bitcoin" in de map AppData. Als deze map bestaat wordt er ransomware geïnstalleerd. Wanneer de map niet wordt aangetroffen en de computer over meer dan twee logische processors beschikt, zal er een cryptominer worden geïnstalleerd. Deze cryptominer gebruikt de computer voor het delven van cryptovaluta. Als er geen Bitcoin-map en slechts één logische processor aanwezig is probeert de downloader zich via gedeelde mappen naar alle computers in het lokale netwerk te kopiëren.

Ongeacht of de ransomware of cryptominer wordt geïnstalleerd kijkt de downloader of er bepaalde anti-virussoftware actief is. Wanneer deze virusscanners niet worden aangetroffen zal de downloader Windows Defender uitschakelen. Gedurende de operatie verstuurt de downloader e-mails met informatie over het systeem naar de aanvaller. Het gaat onder andere om computernaam en ip-adres. De malware is vooral in Rusland en Kazachstan aangetroffen.