ArsTechnican mukaan nyt hyödynnetään GreenFlash Sundown -haittaohjelmistoa, joka on ollut tutkijoiden kartalla jo vuodesta 2015. ShadowGate -nimellä tunnettu hakkeriryhmä on nyt päivittänyt Sundownia ja aloittanut sillä voimakkaat ja kohdistetut hyökkäykset etenkin eurooppalaisiin ja pohjoisamerikkalaisiin kohteisiin.

ShadowGate ei ole ryhtynyt yhtä laajaan operaatioon sitten 2016, joten meneillään on jotain poikkeuksellista. Kohdekoneiden saastuttamiseen on käytetty eri verkkosivustoja, esimerkiksi suosittua onlinevideoconverter-sivua, jonka avulla YouTubesta voi ladata videoita omalle koneelleen.

Sivustolla on gif-kuva, jonka sisään on piilotettu javascript-pätkä, joka ohjaa käyttäjän hakkereiden hallitsemalle sivustolle, jolta varsinainen haittaohjelmaosuus ladataan. Aluksi kuitenkin tarkistetaan tietoja kohdekoneesta. Mikäli kone ei ip-osoitteen perusteella ole Euroopassa tai Pohjois-Amerikassa, jätetään saastuttaminen väliin. Seuraavaksi komentopalvelimelle toimitetaan iso nippu tietoja kohdekoneesta ja sen käyttäjästä.

Mikäli kone kaapataan, huomaa uhri sen lähes välittömästi. Ruutuun nimittäin pamahtaa kiristysohjelman ilmoitus, jonka mukaan kaikki koneen tiedostot on kryptattu. Lisäksi koneeseen asennetaan sen osaksi botnet-verkostoa alistava Pony-ohjelma ja kryptovaluuttaa louhiva haitake.

Koneensa voi pitää turvassa uudelta hyökkäykseltä perinteisin keinoin, eli pitäen käyttöjärjestelmänsä, selaimensa ja muut sovellukset päivitettynä. Myös virusturvaohjelmistot osaavat torjua meneillään olevan hyökkäyksen. Flash-ohjelmiston poistamista suositellaan myös lämpimästi ArsTechnican artikkelissa.