Οι ερευνητές ασφαλείας από τη McAfee ήρθαν αντιμέτωποι με έναν εκτεθειμένο Web διακομιστή που προοριζόταν να φιλοξενήσει τους C&C servers για διαφορετικούς password stealers, οι οποίοι χρησιμοποιήθηκαν για να στοχεύσουν αρκετές εταιρείες ως μέρος μιας βιομηχανικής κατασκοπικής εκστρατείας.
Το λάθος που επέτρεψε στους ερευνητές να ενώσουν τα κομμάτια ήταν η έλλειψη της προσοχής στη λεπτομέρεια του απατεώνα, δεδομένου ότι ξέχασε να διαγράψει το ZIP πακέτο εγκατάστασης του C&C εξυπηρετητή από έναν από τους Web διακομιστές που παραβιάστηκαν και χρησιμοποιήθηκαν για να φιλοξενήσουν αρκετούς C&C servers.
Με την εξέταση των αρχείων σε αυτό το ZIP αρχείο και τον C&C server source κώδικα, οι McAfee ερευνητές εντόπισαν γρήγορα το server-side component του ISR Stealer, μια τροποποιημένη έκδοση του Hackhound infostealer, το οποίο, με τη σειρά του, ήταν ένα αρχαίο κομμάτι κακόβουλου λογισμικού που εντοπίστηκε πρώτη φορά το 2009.
Οι ερευνητές ανακάλυψαν ότι οι απατεώνες χρησιμοποίησαν το IRS Stealer malware για να δημιουργήσουν ένα password stealer ικανό να κλέβει τα διαπιστευτήρια σύνδεσης από εφαρμογές όπως Internet Explorer, Firefox, Google Chrome, Opera, Safari, Yahoo Messenger, MSN Messenger, Pidgin, FileZilla, Internet Download Manager, JDownloader και Trillian.
Οι απατεώνες διένειμαν αυτό το custom password stealer ως RAR ή Ζ αρχεία που αποστέλλονταν μέσω spear-phishing emails
σε διάφορες εταιρείες που ασχολούνται με εξαρτήματα μηχανημάτων.Αυτά τα RAR και Ζ αρχεία περιείχαν εκτελέσιμα που θα φόρτωναν το Ρassword-stealing κακόβουλο λογισμικό. Αν το θύμα να κατέβαζε τα RAR / Ζ αρχεία και εκτελούσε το αρχείο EXE που βρισκόταν στο εσωτερικό, το malware θα συνέλεγε όλους τους διαθέσιμους κωδικούς πρόσβασης και θα έστελνε τα στοιχεία στον C&C εξυπηρετητή ως ένα HTTP αίτημα (request).
Το IRS Stealer, component από την πλευρά του server, θα αποδεχόταν τα υποβαλλόμενα στοιχεία μόνο εάν τo user agent string ήταν «HardCore Software For : Public», ειδικά για το client-side component. Τα δεδομένα τότε θα αποθηκεύονταν σε ένα τοπικό INI αρχείο.
Κοιτάζοντας πίσω στα ιστορικά δεδομένα, οι McAfee ερευνητές ανακάλυψαν ότι η εκστρατεία αυτή είχε πράγματι ξεκινήσει τον Ιανουάριο του 2016 και ότι οι απατεώνες είχαν παραβιάσει διάφορες ιστοσελίδες όπου φιλοξενούσαν τους C&C servers τους.
Σε μία από αυτές τις εκτεθειμένες ιστοσελίδες, οι ερευνητές ανακάλυψαν πάνω από δέκα C&C servers που λάμβαναν δεδομένα από διάφορα θύματα, που δείχνουν ότι οι εγκληματίες δεν είχαν ως στόχο μόνο μία εταιρεία, αλλά μια ολόκληρη κατηγορία επιχειρήσεων που λειτουργούν σε έναν συγκεκριμένο τομέα δραστηριότητας.