Odkryto trzy wersje tego złośliwego oprogramowania. Pierwsza ma postać skryptu PowerShell, druga jest po prostu plikiem wykonywalnym systemu Windows, a trzecia jest aplikacją systemu Android. Wszystkie trzy wersje posiadają identyczny schemat sterowania i kontroli (bazujący na komunikacji HTTP), dlatego operatorzy kampanii wykorzystujących szkodliwe oprogramowania mogą kontrolować całość za pomocą jednego zestawu skryptów.

Badania firmy Kaspersky wykazały, że chociaż obecna kampania ataków rozpoczęła się w pierwszym kwartale tego roku, to istniało już kilka starszych wariantów tego szkodliwego oprogramowania, datowanych na połowę 2020 r. Po udanym ataku na system hakerzy potrafią zagnieżdżać w jego pamięci kilka wersji malware’u i spokojnie czekać na stosowny moment, aby zainicjować właściwe działanie. W jednym z analizowanych przypadków czekali nawet pół roku po dostaniu się do hosta, zanim wdrożyli i uruchomili kod Chinotto.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Co trzecia firma w Polsce z cyberincydentem

Na podstawie analizy kodu badacze z Kaspersky uważają, że nie tylko umożliwia on atakującym szpiegowanie swoich ofiar za pomocą zrzutów ekranu, ale także daje im możliwość kontrolowania zainfekowanych urządzeń, otwierając tylne drzwi w celu wyodrębnienia danych, a nawet instalować dodatkowe złośliwe oprogramowanie.

W wyniku jednoczesnego zainfekowania komputera i telefonu ofiary, operator szkodliwego oprogramowania może obejść uwierzytelnienie dwuskładnikowe w komunikatorach internetowych lub poczcie e-mail, kradnąc wiadomości SMS z telefonu. Potem może już ukraść dowolne interesujące go informacje i kontynuować ataki, np. na znajomych lub partnerów biznesowych ofiary. Jedną z cech charakterystycznych nowego szkodliwego oprogramowania jest ogromna ilość dodatkowego, nie mającego żadnego znaczenia kodu, który ma utrudnić wykrycie zagrożenia.