Siber güvenlik araştırmacıları, sosyal mühendislik ve Blogger sayfalarını kullanarak PureLogs adlı bir bilgi hırsızını (stealer) hedef sistemlere bulaştıran yeni bir çok aşamalı kötü amaçlı yazılım dağıtım zincirini gün ışığına çıkardı. Securonix tarafından VEIL#DROP olarak adlandırılan bu faaliyette, ilk yüklerin ya hedefli oltalama (spear-phishing) e-postaları ya da sürüklenme (drive-by) saldırıları yoluyla dağıtıldığı düşünülüyor. Sürüklenme saldırısı, kullanıcının farkında olmadan saldırganın kontrolündeki bir web sitesini ziyaret etmesiyle gerçekleşiyor.
Enfeksiyon zinciri, bir belgeyi taklit eden (örneğin transcript.pdf.js) yanıltıcı bir JavaScript dosyasıyla başlıyor. Bu dosya, Windows Script Host üzerinden çalıştırılıyor ve yürütme politikası atlatmalarını etkinleştirerek PowerShell'i başlatıyor. PowerShell betiği, Blogger'da barındırılan bir sonraki aşama yükünü ("htlwub00klocate.blogspot[.]com") indiriyor. Saldırganlar, Google'ın güvenilir altyapısını bir aracı olarak kullanarak itibar tabanlı savunmaları aşmayı ve meşru web trafiğine karışmayı hedefliyor.
İndirilen PowerShell yükü, Google gibi zararsız bir web sayfasını yükleyerek PDF belgesinin açıldığı izlenimini yaratırken, enfeksiyon süreci arka planda sessizce devam ediyor. Sonuçta, ele geçirilen sistemlerden geniş bir yelpazede hassas veri toplamakla bilinen .NET tabanlı bir bilgi hırsızı olan PureLogs Stealer devreye giriyor. Securonix araştırmacıları, PureLogs Stealer'ın PureCoder adlı bir tehdit aktörü tarafından hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle sunulan aynı hırsız olduğunu belirtiyor.
VEIL#DROP çerçevesi, dinamik aşama oluşturma ve çalışma zamanı mutasyonu gibi oldukça kaçamak bileşenler içeriyor. Kötü amaçlı yazılım, URL'ye rastgele sayıda eğik çizgi ekleyerek benzersiz bir blogspot[.]com adresi oluşturuyor ve böylece statik URL imzalarını, gösterge tabanlı engellemeyi ve URL filtreleme mekanizmalarını aşıyor. Ayrıca, betik çalışma zamanında rastgele dizeler ve değerlerle yer tutucuları değiştirerek polimorfizm uyguluyor. Tüm bu teknikler, geleneksel antivirüs çözümlerini atlatmak, adli izleri azaltmak ve enfeksiyon boyunca operasyonel gizliliği korumak için tasarlanmıştır.