Вредоносное ПО может распространяться вместе с кейгенами или репаками различных программ, таких как Яндекс браузер, антивирус Sophos и инструменты Adobe. Защитные решения ИБ-компании классифицируют новое злоумышленное ПО как Trojan.BtcMine.3767 (загрузчик) и Trojan.BtcMine.2742 (криптомайнер).
Первый представляет собой зловред для Windows, написанный на языке программирования С++. После запуска вредоносного загрузчика, он копирует себя под именем updater.exe в папку %ProgramFiles%\google\chrome\ и создает запланированное задание для автозагрузки. Загрузчик также добавляет себя в список исключений Microsoft Defender и предпринимает меры для непрерывной работы компьютера. После инициализации, майнер Trojan.BtcMine.2742 внедряется в процесс explorer.exe. С помощью загрузчика, авторы атаки также могут устанавливать руткит (бесфайловый r77), блокировать обновления Windows, ограничивать доступ к выбранным сайтам, приостанавливать процесс добычи криптовалюты, а также удалять или восстанавливать троянские файлы в системе.
