Az alvilági eszköz adathalász célú elektronikus levelekben terjed, amelyek mellékletében egy dupla kiterjesztéssel rendelkező, futtatható fájl található. A kiterjesztések közül a Windows az egyiket – alapértelmezett beállítások mellett – elrejti, ami megtévesztővé teszi a csatolmányokat. Ráadásul a csalók jól ismert alkalmazásokhoz tartozó vagy Word dokumentumok esetén használt ikonok segítségével igyekeznek növelni annak valószínűségét, hogy a felhasználó megnyissa a mellékelt állományt.

Az ESET kutatói a koppenhágai Cybercrime Conference 2016-on tartott előadásukban azt is elárulták, hogy a kártékony program honnan kapta a furcsa nevét: egy, a forráskódban található „B64SBDH” karaktersorozatból ered, amely fontos jelentőséggel bír, ugyanis a kártevő ez alapján tölti le az egyes összetevőit a kiszolgálóiról.

ESET

Amennyiben a kártékony program elindul, akkor kapcsolódik egy távoli kiszolgálóhoz, ahonnan két további összetevőt tölt le. Az egyik egy hátsó ajtó (backdoor) nyitására alkalmas komponens, a másik pedig adatlopást tesz lehetővé. A modulok kombinációjával a támadók nemcsak teljes körű, távoli hozzáférést szerezhetnek a kompromittált számítógépek felett, hanem fejlett módszerek segítségével adatokat is kiszivárogtathatnak.

A kártevőben egy nagyon hatékony szűrőmodul is helyet kapott, amelynek segítségével a támadók részletesen meghatározhatják, hogy milyen fájlokra, adatokra kíváncsiak. Így például beállíthatják az állományok kiterjesztésére, létrehozási dátumára, méretére és egyéb paraméterei vonatkozó kívánalmaikat is. A beállításokat egy egyszerű konfigurációs fájlban tehetik meg.

Az ESET kutatói kiemelték, hogy mivel a károkozó minden egyes összetevőjének szüksége van vezérlőszerverrel történő kommunikációra, ezért a működése nagymértékben függ a hálózat adta lehetőségektől. Így a kártevő többféle csatlakozási technikával is próbálkozik. Elsősorban a hagyományos, HTTP alapú webes adatforgalomba próbál beférkőzni, ha ez nem sikerül, akkor az SMTP (Simple Mail Transfer Protocol) emailtovábbítási protokollt hívja segítségül.

Az SBDH terjesztői arra az eshetőségre is felkészültek, amikor a vezérlőszerver valamilyen oknál fogva elérhetetlenné válik. Ekkor a károkozó egy előre bekódolt webcím segítségével egy preparált képfájlt tölt le egy ingyenesen használható blogoldalról. Ez a manipulált .JPG vagy .GIF képállomány pedig egy alternatív kiszolgáló címét rejti.

ESET

A kártékony program néhány vizsgált variánsa a fenti képen látható egyszerű, de hatásos technikát is alkalmaz: lecseréli a Word dokumentumokhoz hozzárendelt alkalmazást. Ennek következtében, amikor a felhasználó megnyit egy Word állományt, akkor valójában nem a Microsoft szoftvere fog elindulni, hanem maga a károkozó.