Злоумышленники используют данный метод для заражения пользователей майнером криптовалюты.
Исследователи безопасности из компании FireEye зафиксировали случаи применения авторами вредоносных программ техники внедрения кода PROPagate, описанного в ноябре 2017 года. Техника заключается в использовании функций служб управления API интерфейса Windows GUI для загрузки и выполнения вредоносного кода внутри процессов легитимных приложений.
Разработчикам вредоносных программ потребовалось 8 месяцев для того, чтобы разобраться в PROPagate. Согласно отчету, исследователи обнаружили вредоносную кампанию с использованием технологии PROPagate для заражения устройство пользователей майнерами криптовалюты.
По словам специалистов, операторы набора эксплойтов RIG запустили кампанию по перехвату трафика с легитимных сайтов с помощью скрытого элемента iframe и перенаправления пользователей на «целевую страницу». На данной странице RIG использует один из трех вредоносных скриптов для загрузки и запуска вредоносного установщика NSIS. В свою очередь установщик запускает трехступенчатый механизм, который включает в себя технику PROPagate, для заражения устройства пользователя конечной полезной нагрузкой, а именно майнером криптовалюты Monero.