Gelsevirine

Gelsevirinie leveres til de kompromitterede maskiner af en mellemlæsser, der hedder Gelsemicine. Gelsevirinie er det sidste trin malware-modul implementeret i angreb fra Gelsemium APT- gruppen (Advanced Persistent Threat). Læsseren findes i to forskellige versioner, og den, der bliver udført, afhænger af, om den inficerede bruger har administrative rettigheder eller ej. Hvis offeret har de krævede privilegier, vil Gelsevirine blive droppet under C: \ Windows \ System32 \ spool \ prtprocs \ x64 \ winprint.dll, ellers leveres det som en DLL med navnet chrome_elf.dll i CommonAppData / Google / Chrome / Ansøgning / bibliotek / placering.

Når først Gelsevirine er implementeret på det målrettede system, starter den en kompleks opsætning for at nå og vedligeholde kommunikation med sin Command-and-Control-server. For det første er den afhængig af en indbygget DLL til at udføre rollen som mand-i-midten. Derudover er en separat konfiguration ansvarlig for håndtering af de forskellige protokolltyper som tcp, udp, http og https.

Infosec-forskere var i stand til at opdage flere plug-ins, der hentes og initieres af Gelsevirine, der hver har forskellige funktioner. FxCoder-plugin'et er et komprimerings-dekompressionsværktøj, der letter C & C-kommunikation. Dernæst er der plug-in'en Utility, der er i stand til at manipulere filsystemet på den kompromitterede enhed. Den sidste af de observerede plugins er Inter - et værktøj, der muliggør injektion af DLL'er i valgte processer.