Пользователю загружается на устройство отвлекающий документ - например, выписка из амбулаторной карты пациента. Вместе с ним скрыто устанавливается загрузчик, а затем - агент фреймворка.
Хакеры получают доступ к скомпрометированной системе и могут с его помощью удаленно выполнять команды и выгружать данные.
Другой вариант - фишинговые письма от силовых структур. Пользователю сообщают, что он якобы подозревается в совершении серьезного преступления, и просят предоставить документы. Список документов нужно скачать по ссылке. Однако переход по ссылке заканчивался установкой загрузчика и следом - агента.
В Bi.Zone сообщили, что сейчас 12% всех кибератак совершаются с применением инструментов для тестирования на проникновение. Эти легитимные инструменты стали применяться хакерами еще со второй половины 2010-х годов, но сейчас применяются те из них, которые проигрывают по популярности, например, такие, как Havoc.
В компании пояснили, что чем реже инструмент используется в атаках, тем больше у злоумышленников шансов остаться незамеченными.