Für ihre Phishing-Kampagne haben die Kriminellen verschiedene Webseiten von echten Unternehmen nachgebaut, über die sie ihre Phishing-E-Mails verschicken. Zusätzlich wird dort die Malware-Payload gehostet, die von den Opfern unwissentlich heruntergeladen werden soll. Zu Beginn des Angriffs erhält das Opfer eine E-Mail mit einer ISO-Disk-Image-Datei, die das Speicherabbild des Dateisystems einer CD oder DVD enthält, in einem bestimmten Format strukturiert ist und wiederum eine .HTA-Datei beinhaltet, die die Ausführung von JavaScript- oder VBScript-Code über HTML-Schmuggel ermöglicht.
Als Beispiel zeigen die Sicherheitsforscher eine E-Mail, die vorgibt, einen unterschriebenen Vertrag für eine Autoübergabe zu enthalten. Gleichzeitig wird darum gebeten, den Erhalt zu bestätigen und weitere Unterlagen wie Fahrzeugpapiere und TÜV für das genannte Auto zu übersenden. Öffnet man den Anhang, wird im Hintergrund eine weitere Datei geöffnet, die die Drop-Site kontaktiert, über die dann die Malware eingeschmuggelt wird. Das Opfer selbst sieht dabei nur ein Dokument, das scheinbar genau das ist, was es sein soll, also im Beispiel ein Kaufvertrag über ein Auto. Laut Check Point wurden bei der genaueren Untersuchung der neuen Vorgehensweise mehrere Versionen dieser Skripte gefunden, die unterschiedliche Aktionen ausführen. Manche lösen PowerShell-Code aus, manche sind gut verborgen und andere wiederum im Klartext sichtbar. Alle laden verschiedene Malware und Spyware herunter, die zumeist als Malware as a Service im Darknet verfügbar sind, darunter Raccoon Stealer, AZORult und BitRAT. In einer späteren Version der Kampagne beobachteten die Sicherheitsforscher außerdem, dass ein PowerShell-Code ausgeführt wird, bei dem das Opfer nicht mehr dazu gebracht werden muss, Makros zu aktivieren, da die Malware die entsprechenden Änderungen in Microsoft Office selbst vornimmt.
Laut Check Point sind mindestens 14 Opfer der Kampagne in Deutschland bekannt, die alle in Verbindung zur Automobilbranche stehen. Konkrete Namen werden jedoch nicht genannt. Auch wer hinter den Angriffen steckt, lässt sich noch nicht mit völliger Sicherheit sagen, doch es besteht zumindest ein Anfangsverdacht, dass es sich um eine Hackergruppe aus dem Iran handelt. So wurden die Payloads der Malware auf einer Webseite gehostet, die von einer Persona aus dem Iran registriert wurde. Hinzu kommen wahrscheinliche Verbindungen zu einer anderen Phishing-Kampagne, die auf Kunden der Santander Bank abzielte und bei einem iranischen Internet Service Provider gehostet wurde. Das legt den Schluss nahe, dass es sich um eine Hackergruppe aus dem Iran handelt, ein endgültiger Beweis dieser Schlussfolgerung steht allerdings noch aus. Auch zu den Zielen der Angreifer lässt sich noch keine abschließende Äußerung abgeben. Wahrscheinlich handelt es sich sowohl um Industriespionage als auch um einen Fall von Business E-Mail Compromise (BEC) oder CEO Fraud. Das ist eine Betrugsmasche, bei der die Angreifer sich als Vorgesetzter ausgeben und so die Opfer dazu bringen, Gelder schnell und ohne Kontrolle zu überweisen. Dafür spricht auch, dass die bisher verschickten E-Mails Raum für weitere Kontaktaufnahmen lassen, was dem falschen CEO bei einer solchen Masche zusätzliche Glaubwürdigkeit verleiht.