มัลแวร์ใช้ฟีเจอร์ Microsoft Windows Error Reporting (WER) เพื่อรันโค้ดอันตรายแบบไม่มีไฟล์ (fileless)

Hossein Jazi และ Jérôme Segura จาก MalwareBytes เปิดเผยผลการวิเคราะห์ซึ่งตรวจพบในมัลแวร์สายพันธุ์ใหม่ วิธีการนี้เคยถูกใช้ในมัลแวร์ Netwalker และมัลแวร์เรียกค่าไถ่ Cerber มาก่อนแล้ว

มัลแวร์เริ่มต้นการแพร่กระจายผ่านทางสคริปต์ macro ในไฟล์ทางอีเมล โดยสคริปต์ดังกล่าวนั้นถูกพัฒนามาจากโครงการโอเพนซอร์สสำหรับการประเมินความปลอดภัยระบบชื่อ CactusTorch ซึ่งมีความสามารถในการโหลดไบนารีซึ่งถูกคอมไพล์จาก .Net ไปยังโปรเซสที่ต้องการเพื่อฝังโค้ดที่เป็นอันตรายได้

ในกรณีของมัลแวร์ดังกล่าว มัลแวร์มีการโหลดโมดูลที่มีชื่อว่า Kraken และกำหนดเป้าหมายในการแทรกโค้ดไบนารีไปยังโปรเซส werfault.