Заражение, по данным компании Sophos, носит иезуитский сложный характер, и экспертам до сих пор не удалось выяснить, каким образом происходит первичное проникновение вредоноса в сеть. Собранная статистика заражений указывает, что MegaCortex чаще всего проявляется в сетях, где уже находятся банковские троянцы Qbot и Emotet, который сам по себе в последние годы эволюционировал в платформу доставки других вредоносных программ и обзавелся функциями «червя».
Жертвы заражений указывают, что атака начинается из скомпрометированного доменного контроллера: злоумышленники, используя украденные административные реквизиты, запускают некий скрипт PowerShell, защищенный тройной обфускацией (запутыванием кода). Устранив ее, эксперты обнаружили серию команд, которые «декодируют сгусток данных, зашифрованных алгоритмом base64». Этот сгусток при ближайшем распространении оказался «скриптом CobaltStrike, который открывает обратный шелл Meterpreter для входа в сеть жертв».
Далее по машинам, располагающимся в Сети, распространяется копия утилиты PsExec, предназначенной для удаленного запуска процессов на других машинах, batch-файл, осуществляющий закрытие процессов и служб Windows, и основной файл шифровальщика winnit.exe.
Хитрый банковский троянец Emotet заряжает корпоративные сети шифровальщиком