Aanvallers maken gebruik van malafide cryptovaluta-gerelateerde advertenties voor het verspreiden van malware, zo meldt Microsoft. De advertenties wijzen gebruikers naar websites die bestanden aanbieden die van cryptobeurzen zoals Binance of TradingView afkomstig lijken. In werkelijkheid gaat het om malware. Zodra de malware actief is op een systeem voegt die een uitzondering toe aan Microsoft Defender for Endpoint.

"Deze actie voorkomt dat verdere PowerShell-acties worden gedetecteerd, waardoor de aanval ongestoord kan doorgaan", aldus Microsoft. Hierna voeren de aanvallers een script uit dat allerlei informatie over het besmette systeem terugstuurt. Nadat de informatie is verzamelt ontvangt het besmette systeem een bestand dat voor het volgende deel van de aanval wordt gebruikt. Zo wordt er een certificaat geïnstalleerd en is het mogelijk om gevoelige browsergegevens te lezen en stelen.

Microsoft adviseert organisaties om hun gebruikers te onderwijzen over het downloaden van software van niet geverifieerde bronnen. Tevens wordt aangeraden om PowerShell logging in te schakelen en uitgaand verkeer naar verdachte domeinen te blokkeren.