แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows

นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น

MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications

การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ

ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.

Windows Remote desktop service ถูกใช้เป็นส่วนหนึ่งในการโจมตีของมัลแวร์แบบ Fileless

พบการโจมตีด้วยมัลแวร์แบบ Fileless ผ่าน remote desktop protocol (RDP) โดยไม่มีการทิ้งร่องรอยบนอุปกรณ์ที่ถูกโจมตี Cryptocurrency miners, info-stealers และ ransomware มัลแวร์ทั้งสามจะทำงานบน RAM ผ่าน RDP

เนื่องจากมัลแวร์แบบ Fileless จะทำงานบน RAM ทำให้ไม่มีร่องรอยหลงเหลือหากปิดเครื่อง

ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใน Windows Remote Desktop Services ซึ่งอนุญาตให้ client แชร์ไดร์ฟไปยังระบบ server พร้อมสิทธิในการอ่านและเขียน โดยไดร์ฟที่ปรากฏบน server เรียกว่า tsclient ซึ่งจะสามารถเข้าถึงไดรฟ์ที่ถูกแชร์นี้ได้ผ่าน RDP และทำการรันโปรแกรมได้ ในกรณีที่รันโปรแกรมที่ทำงานเฉพาะใน RAM เมื่อยกเลิกการเชื่อมต่อ RDP ก็จะไม่ทิ้งร่องรอย เพราะเมื่อยกเลิกการเชื่อมต่อ หน่วยความจำที่ใช้จะทำการคืนให้กับระบบ

นักวิเคราะห์มัลแวร์จาก Bitdefender พบว่าผู้โจมตีใช้ประโยชน์จากคุณสมบัติการแชร์ไดร์ฟดังกล่าวแพร่กระจายมัลแวร์หลายประเภทพร้อมกับไฟล์ worker.