资安业者Trellix揭露一起散布窃资软件的攻击行动，黑客锁定拉丁美洲及亚太地区的用户，诱骗他们下载受到密码保护的压缩档，这个文件的内容，包含了遭窜改的思科Webex Meeting应用程序组件ptService.exe，一旦用户解压缩并运行Setup.exe，Webex Meeting就会秘密启动恶意程序加载工具HijackLoader，从而在受害电脑植入窃资软件Vidar Stealer。

研究人员进一步调查，攻击者利用的压缩档约有400个左右，这些文件有ZIP及RAR格式，共通点是黑客声称提供免费软件或盗版商业软件，并为这些压缩档设置密码。

若是用户依照对方指示运行特定的运行档，电脑就会通过DLL侧载启动HijackLoader，而这个恶意程序加载工具将下载AutoIT自动化工具的运行档，然后与C2进行连接，而这个C2服务器位于Vidar僵尸网络的基础设施。

黑客滥用AutoIT打造的Vidar Stealer，一旦该程序与C2成功连接后，便会存取Chrome、Firefox、Zoom等应用程序的用户设置数据，而且还会进行权限提升，并将自己加入杀毒软件Microsoft Defender的白名单，然后通过MSBuild.exe取得远程.NET运行档，试图利用受害电脑挖矿。