此惡意程式啟動後,將會再度執行偵察,並下載組態檔案連接C2。值得一提的是,對方使用Telegram機器人做為C2通訊的管道。
上述連線成功後,RotBot將會把惡意酬載XClient載入記憶體,並執行外掛程式,然後竊取受害者的瀏覽器資料,並搜括社群網站臉書、Instagram、抖音、YouTube帳號,以及從Telegram、Discord電腦版應用程式收集資料。
值得留意的是,XClient還會特別確認受害者持有的臉書帳號屬性,是否為企業帳號或是廣告帳號,並進一步收集財務資訊、好友名單的詳細資料。
研究人員特別提到,對方使用了名為Dead Drop的攻擊手法,濫用合法服務代管C2組態資訊,而在進行寄生攻擊(LOLBins)的過程,這些駭客也運用了Forfiles.exe、FoDHelper.exe等不常見的可執行檔,來從事攻擊行動。