Menjalankan makro akan memicu pengunduhan trojan bernama DangerAds. Ini adalah malware pemuat, yang tujuan utamanya adalah mendeteksi lingkungan host dan menjalankan kode shell bawaan yang digunakan untuk memuat muatan akhir.
Saat mendeteksi lingkungan host, DangerAds akan mencari string tertentu dalam nama pengguna dan nama domain lokal, dan hanya akan melanjutkan jika menemukannya.
“Desain ini menunjukkan bahwa penyerang menggunakan proses serangan ini untuk penetrasi intra-domain setelah berhasil menyusup ke dalam jaringan target,” jelas para peneliti.
Payload terakhir disebut AtlasAgent, dan fungsi utamanya adalah memperoleh informasi host, mengeksekusi kode shell, mengunduh dan mengeksekusi. Sayang para peneliti belum mengetahui siapa yang diincar para penyerang.
Mereka hanya mengetahui bahwa aktivitas phishing yang diamati adalah bagian dari serangan yang ditargetkan penyerang terhadap target tertentu dan merupakan sarana utama untuk mencapai penetrasi dalam domain.
"Pada tahap saat ini, AtlasCross memiliki cakupan aktivitas yang relatif terbatas, terutama berfokus pada serangan yang ditargetkan terhadap host tertentu dalam domain jaringan,” kata laporan itu.
"Namun, proses serangan yang mereka terapkan sangat kuat dan matang," pungkasnya.