Bilgisayar korsanları, fark edilmeden komut dosyası tabanlı saldırıları yürütmelerine olanak tanıyan bir işlem geliştirdi. Sahte Windows hata raporlarında onaltılı değerler olarak gizlenen ASCII karakterlerini gizlediler. Kod çözüldüğünde karakterler PowerShell komut dosyalarına neden oluyor. Süreç, bir bilgisayar sistemi hakkında bilgi toplamayı amaçlayan daha uzun bir saldırı zincirinin parçası.
Huntress Labs'a göre bir sistemi ele geçiren saldırganlar, Windows'un hata günlük dosyalarına benzer görünen bir dosyayı kullanarak kod dosyası tabanlı saldırılara hazırlık yapıyor. Siber suçlular bu sayede kurbanlarının sistemine erişebiliyorlar. Suçlular, Windows uygulaması hata raporu gibi davranan "a.chk" adlı bir dosyaya sızdılar.
Huntress Labs'ın kurucusu ve başkan yardımcısı John Ferrell, ilk bakışta bir uygulamanın günlük dosyası gibi görünen ve OS 6.2 (Windows 8 ve Windows Server 2012'nin dahili sürüm numarası) referansları bulunan dosyanın, aslında kötü niyetli olduğunu fark ettiklerini söylüyor.
Ferrell, "İlk bakışta, herhangi bir uygulamanın günlüğüne benziyor. Zaman damgaları var. İçinde Windows 8 ve Windows Server 2012'nin dahili sürüm numarası olan bir OS 6.2 sürümüne ait referanslar bulunuyor." dedi.
Ayrıca, saldırıda meşru Windows uygulamalarının kopyaları kullanıldı. "BfeOnService.exe" dosyasının, HTML uygulamalarının (HTA) yürütülmesinden sorumlu olan Microsoft'un "mshta.exe" uygulamasına karşılık geldiği ortaya çıktı. Saldırının bir parçası olarak, PowerShell'i başlatmak için bir VBScript çalıştırıldı. Yine, "engine.exe" adlı "powershell.exe"nin bir kopyası kullanıldı.
Microsofts Antimalware Scan Interface (AMSI) bu sorunu çözmesi için bir bellek içi düzeltme eki de yayınladı. AMSI, virüsten koruma programlarının komut dosyası saldırılarını algılamasına yardımcı oluyor.
Uzmanlara göre bu araçlar ile sistemdeki web tarayıcısı, vergi yazılımı, güvenlik yazılımı ve PoS yazılımı hakkında bilgiler toplanıyor.