พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64

ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด

แคมเปญการขุด Cryptocurrency ของ RapperBot

นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS

จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม

โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64

นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก

ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ

FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล

IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน

เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย

ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น

ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:

Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)

RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี

เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน

ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต

ที่มา : bleepingcomputer

Fortinet รายงานการพบ botnet หลายตัว กำลังมุ่งเป้าการโจมตีไปยังช่องโหว่ของ Cacti และ Realtek ตั้งแต่เดือนมกราคมถึงมีนาคม 2023 โดยพบการแพร่กระจายของมัลแวร์ ShellBot และ Moobot เป็นหลัก

โดยของโหว่ที่ตกเป็นเป้าหมายในการโจมตีคือ CVE-2021-35394 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Realtek Jungle SDK และ CVE-2022-46169 ช่องโหว่ command injection ใน fault management monitoring tool ของ Cacti ซึ่งทั้งสองช่องโหว่ดังกล่าว เคยถูกใช้โจมตีโดย botnet ตัวอื่นมาแล้ว เช่น Fodcha, RedGoBot, Mirai, Gafgyt และ Mozi

แม้ว่าจากรายงานของ Fortinet จะไม่ระบุอย่างชัดเจนว่า botnet ทั้งสองตัวอย่าง ShellBot และ Moobot มาจาก Hacker กลุ่มเดียวกัน แต่พบหลักฐานว่า botnet ทั้งสองตัวนี้ทำการโจมตีโดยใช้ช่องโหว่ในลักษณะเดียวกัน (more…)

Botnet ตัวใหม่ที่ใช้ภาษา Golang-based ชื่อ 'HinataBot' ได้โจมตีโดยใช้ช่องโหว่ของอุปกรณ์เราเตอร์ และเซิร์ฟเวอร์ เพื่อเข้าควบคุมระบบเพื่อนำมาใช้โจมตีแบบ DDoS

Akamai ระบุในรายงานทางเทคนิคว่า "ไบนารี่ของมัลแวร์ถูกตั้งชื่อตามตัวละครอนิเมะยอดนิยมอย่าง Naruto โดยมีโครงสร้างชื่อไฟล์เช่น 'Hinata-<OS>-<Architecture>'"

โดยมัลแวร์มีการใช้ช่องโหว่ของเซิร์ฟเวอร์ Hadoop YARN และช่องโหว่ของอุปกรณ์ Realtek SDK (CVE-2014-8361), และเราเตอร์ Huawei HG532 (CVE-2017-17215, CVSS score: 8.8) ในการโจมตีอุปกรณ์ของเหยื่อ

โดยช่องโหว่บนระบบที่ยังไม่ได้รับการอัปเดตแพตซ์ และรหัสผ่านที่คาดเดาได้ง่าย จะตกเป็นเป้าหมายของการโจมตีครั้งนี้ โดยผู้โจมตีไม่จำเป็นต้องใช้เทคนิค social engineering หรือเทคนิคในการโจมตีอื่น ๆ (more…)

มัลแวร์ Botnet เวอร์ชันอัปเดต ชื่อ "Prometei" ได้แพร่กระจายไปมากกว่า 10,000 ระบบทั่วโลกตั้งแต่เดือนพฤศจิกายน 2022

การแพร่กระจายที่เกิดขึ้น มีรายงานว่าเหยื่อส่วนใหญ่อยู่ในประเทศบราซิล, อินโดนีเซีย และตุรกี

Prometei ถูกพบครั้งแรกในปี 2016 โดยเป็น Botnet ที่มีส่วนประกอบจำนวนมาก และมีหลากหลายวิธีในการการแพร่กระจาย เช่น การใช้ช่องโหว่ ProxyLogon ของ Microsoft Exchange Server

มีข้อสันนิษฐานเกี่ยวกับผู้โจมตีที่อยู่เบื้องหลังว่าอาจมีความเชื่อมโยงกับประเทศรัสเซีย เนื่องจาก Prometei หลีกเลี่ยงที่จะโจมตีเหยื่อที่อยู่ในประเทศรัสเซีย (more…)

พบมัลแวร์ตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า 'GoBruteforcer' มุ่งเป้าหมายไปที่เซิร์ฟเวอร์ phpMyAdmin, MySQL, FTP, และ Postgres เพื่อเชื่อมโยงอุปกรณ์เข้า botnet

นักวิจัยของ Palo Alto Networks Unit 42 กล่าวว่า "GoBruterforcer ใช้ Classless Inter-Domain Routing (CIDR) block เพื่อสแกนเครือข่ายในระหว่างการโจมตี และมีเป้าหมายเป็นที่อยู่ IP ทั้งหมดของ CIDR range"

ผู้ไม่หวังดีใช้การสแกน CIDR block เพื่อเข้าถึงเครือข่ายเป้าหมายบน IP ที่แตกต่างกันภายในเครือข่าย แทนที่จะใช้ IP แบบเดียวเป็นเป้าหมาย (more…)

BitSight บริษัทด้านความปลอดภัย ได้ค้นพบ Botnet ที่มีความน่าสนใจซึ่งมีการแพร่กระจายได้อย่างรวดเร็วในชื่อ MyloBot โดยเหยื่อส่วนใหญ่อยู่ในประเทศอินเดีย สหรัฐอเมริกา อินโดนีเซีย และอิหร่าน โดยพบว่ามีเครื่องที่ติด MyloBot เพิ่มเฉลี่ย 50,000 เครื่องต่อวัน ซึ่งพบว่าลดลงจากปี 2020 ที่มีติดเฉลี่ย 250,000 เครื่องต่อวัน (more…)

Sysrv botnet กำหนดเป้าหมายเซิร์ฟเวอร์ Windows และ Linux ด้วยช่องโหว่ใหม่

Microsoft กล่าวว่า Sysrv botnet กำลังใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

Microsoft ค้นพบมัลแวร์ Sysrv สายพันธุ์ใหม่ที่ชื่อว่า Sysrv-K ที่ถูกพัฒนาให้มีความสามารถมากขึ้น และยังสามารถสแกนหา WordPress ที่ไม่ได้แพตช์ และมีการใช้ Spring

โดยทีม Microsoft Security Intelligence กล่าวในเธรดบน Twitter ถึง Sysrv-K ที่มีความสามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ได้โดยใช้ประโยชน์จากช่องโหว่ต่างๆ โดยช่องโหว่เหล่านี้ได้มีการแก้ไขแล้วด้วยการอัปเดตความปลอดภัย รวมถึงช่องโหว่เก่าใน WordPress plugins และช่องโหว่ใหม่ๆ เช่น CVE-2022-22947

CVE-2022-22947 เป็นช่องโหว่ Code injection บน Spring Cloud Gateway library ที่ทำให้ถูกโจมตีในรูปแบบ remote code execution บนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ โดยในส่วนหนึ่งของความสามารถใหม่เหล่านี้ Sysrv-K จะสแกนหา configuration files และ backups ของ WordPress เพื่อขโมย database credentials และใช้ในการเข้าควบคุมเว็บเซิร์ฟเวอร์

Sysrv กำลังสแกนจากอินเทอร์เน็ต เพื่อหาเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่ในองค์กร เพื่อติดตั้ง Monero (XMRig) miners และเพย์โหลดมัลแวร์อื่นๆ

ในการแฮ็กเข้าสู่เว็บเซิร์ฟเวอร์เหล่านี้ botnet จะใช้ประโยชน์จากช่องโหว่ในเว็บแอป และฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts

หลังจากติดตั้ง cryptocurrency miners และปรับใช้ payloads ของตัวเองแล้ว Sysrv ยังแพร่กระจายตัวเองโดยอัตโนมัติบนเครือข่ายผ่านการ brute force attacks โดยใช้ SSH private keys ที่รวบรวมจากเซิร์ฟเวอร์ที่ติดมัลแวร์ (เช่น bash history, ssh config, and known_hosts files)

botnet propagator จะสแกนไปบนอินเทอร์เน็ตเพื่อหาระบบ Windows และ Linux ที่มีช่องโหว่ให้มากขึ้น เพื่อทำการเพิ่ม Monero mining bots

ที่มา : www.

Botnet ที่ถูกพบเมื่อไม่นานมานี้ กำลังมุ่งเป้าไปที่ระบบปฏิบัติการ Linux โดยพยายามยึดครองเครื่องเหยื่อเพื่อสร้างเป็น Army of Bots ที่พร้อมจะขโมย sensitive info, ติดตั้ง Rootkits, สร้าง Reverse Shells, และทำหน้าที่เป็น Web Traffic Proxies

มัลแวร์ที่เพิ่งค้นพบใหม่นี้มีชื่อเรียกว่า B1txor20 โดยนักวิจัยที่ Network Security Research Lab ของ Qihoo 360(360 Netlab) ซึ่งพบว่าตัวมันมุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux ARM, X64 CPU

Botnet ใช้ช่องโหว่ Log4J เพื่อแพร่กระจายมัลแวร์ ซึ่งเป็น Attack Vector ที่น่าสนใจเนื่องจากมี Vendors หลายสิบรายใช้ไลบรารี Apache Log4j Logging ที่มีช่องโหว่

นักวิจัยพบ Botnet B1txor20 เป็นครั้งแรกเมื่อวันที่ 9 กุมภาพันธ์ บนระบบ Honeypot ของพวกเขา

มัลแวร์ B1txor20 เป็น Backdoor บน Linux Platform ซึ่งใช้เทคโนโลยี DNS Tunneling เพื่อสร้างช่องทางการสื่อสารกับ C2 นอกเหนือจากฟังก์ชัน Backdoor แล้ว B1txor20 ยังมีฟังก์ชันต่าง ๆ เช่น การเปิด Socket5 Proxy, การดาวน์โหลดและติดตั้ง Rootkit จากระยะไกล

DNS Tunneling ใช้เพื่อปกปิดการรับส่งข้อมูลกับ C2

สิ่งที่ทำให้มัลแวร์ B1txor20 โดดเด่นคือ การใช้ DNS tunneling สำหรับช่องทางการสื่อสารกับเซิร์ฟเวอร์ Command and Control(C2) ซึ่งเป็นเทคนิคที่เก่าแต่ยังคงเชื่อถือได้ โดยผู้ไม่หวังดีใช้ประโยชน์จากโปรโตคอล DNS เพื่อสร้าง tunnel malware และ data via DNS queries

นักวิจัยอธิบายเกี่ยวกับมัลแวร์ไว้ว่า "Bot จะส่งข้อมูลสำคัญที่ถูกขโมย เช่น ผลการดำเนินการตามคำสั่ง และข้อมูลอื่น ๆ ไปยัง C2 ในลักษณะ DNS request" หลังจากได้รับ Request แล้ว C2 จะส่ง Payload กลับไปยัง Bot เพื่อตอบกลับ DNS request ด้วยวิธีนี้ Bot และ C2 จึงสามารถสื่อสารได้โดยใช้โปรโตคอล DNS ได้

นักวิจัย 360 Netlab ยังพบ Features ที่พัฒนาแล้วจำนวนมากที่ยังไม่ได้ถูกนำไปใช้ เนื่องจาก Features บางอย่างยังไม่สมบูรณ์ เราคิดว่าผู้พัฒนามัลแวร์ B1txor20 จะยังคงปรับปรุง และเปิดใช้งาน Features ต่าง ๆ ในอนาคต

ข้อมูลเพิ่มเติม รวมถึง indicators of compromise (IOCs) และรายการคำสั่ง C2 ทั้งหมด ดูได้ที่ 360 Netlab report

การใช้ประโยชน์จากช่องโหว่ Log4J อย่างต่อเนื่องโดย Botnets

ตั้งแต่มีการเปิดเผยช่องโหว่ของ Log4J ผู้ไม่หวังดีจำนวนมากเริ่มใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึงกลุ่มที่ได้รับการสนับสนุนซึ่งมีข้อมูลเชื่อมโยงกับรัฐบาลในจีน, อิหร่าน, เกาหลีเหนือ, และตุรกี รวมถึงโดย Ransomware gangs

นักวิจัย 360 Netlab กล่าวเสริมว่า "เนื่องจากช่องโหว่ของ Log4J ถูกเปิดเผยออกมา เราจึงเห็นมัลแวร์จำนวนมากขึ้นเช่น wagon, Elknot, Gafgyt, Mirai" ตัวอย่างเช่น ในเดือนธันวาคม พบผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Log4J เพื่อทำให้อุปกรณ์ Linux ที่มีช่องโหว่ ติดมัลแวร์ Mirai และมัลแวร์ Muhstik

Barracuda ยืนยันรายงานของ 360 Netlab เมื่อต้นเดือนที่ผ่านมา โดยกล่าวว่าพวกเขาพบ Payloads ต่าง ๆ ที่กำหนดเป้าหมายการโจมตีไปยัง Server ที่มีช่องโหว่ Log4j เช่นเดียวกัน

ที่มา : bleepingcomputer

 

กลุ่มแฮกเกอร์ไม่ทราบชื่อกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงในการข้ามขั้นตอนการพิสูจน์ตัวตน ทำให้สามารถเข้าควบคุม Router และแพร่มัลแวร์ Mirai botnet เพื่อใช้ในการโจมตี DDoS

CVE-2021-20090 (CVSS score: 9.9) เป็นช่องโหว่ Path Traversal บนเว็บอินเตอร์เฟสของ Router ซึ่งทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตนเพื่อเข้าควบคุม Router ได้ ซึ่งช่องโหว่นี้เกิดขึ้นกับเฟิร์มแวร์ของ Arcadyan โดยผู้เชี่ยวชาญจาก Tenable ได้เปิดเผยเมื่อวันที่ 3 สิงหาคม ว่าช่องโหว่นี้น่าจะมีมานานกว่า 10 ปีแล้ว  ซึ่งส่งผลกระทบกับ Router อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย

 

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตน และเข้าถึงข้อมูลสำคัญต่างๆ ได้ เช่น Request tokens ซึ่งสามารถใช้เพื่อส่ง Request ไปแก้ไขการตั้งค่าของ Router ได้

ต่อมาไม่นาน Juniper Threat Labs ก็ค้นพบการโจมตีซึ่งพยายามจะใช้ประโยชน์จากช่องโหว่นี้มาจาก IP address ซึ่งระบุว่าอยู่ในประเทศจีน โดยเริ่มตั้งแต่วันที่ 5 สิงหาคม ที่แฮกเกอร์พยายามจะปล่อย Mirai botnet ไปยัง Router ต่างๆ ซึ่งผู้เชี่ยวชาญให้ความเห็นว่าพฤติกรรมการโจมตีที่พบนี้แสดงให้เห็นว่าเป็นการโจมตีจากแฮกเกอร์กลุ่มเดียวกันกับรายงานเหตุการณ์การโจมตีของผู้เชี่ยวชาญจาก Palo Alto Network ซึ่งได้พบเห็นการโจมตีในรูปแบบเดียวกันนี้ตั้งแต่ในช่วงเดือนมีนาคม

นอกจากช่องโหว่ CVE-2021-20090 แล้ว แฮกเกอร์ยังพยายามใช้ช่องโหว่อื่นๆ ในการโจมตี Router อีก เช่น

CVE-2020-29557 (Pre-authentication remote code execution in D-Link DIR-825 R1 devices)
CVE-2021-1497 และ CVE-2021-1498 (Command injection vulnerabilities in Cisco HyperFlex HX)
CVE-2021-31755 (Stack buffer overflow vulnerability in Tenda AC11 leading to arbitrary code execution)
CVE-2021-22502 (Remote code execution flaw in Micro Focus Operation Bridge Reporter)
CVE-2021-22506 (Information Leakage vulnerability in Micro Focus Access Manager)

เพื่อหลีกเลี่ยงการถูกโจมตี ผู้เชี่ยวชาญได้แนะนำให้ผู้ใช้งานพยายามอัพเดตเฟิร์มแวร์ของ Router ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ

ที่มา: thehackernews

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.