上图是初始样本的邮件内容，由意大利语编写，并带有一个歹意附件，该邮件标题为“postacert.eml”，翻开电子邮件后会弹出以下内容：

上图则是此次进犯中发现的新样本，也是分发进程开端开端改变的当地。电子邮件不再带着附件，可是有一个超链接转到地址hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip，一起链接结尾加上了邮件中的一个参数。例如，完好的URL是hxxp:tribunaledinapoli[.]recsinc[.]com/documento.zip?214299，数字214299是电子邮件自身中引证的数字。该地址看似没什么问题，会得到来自Web服务器的HTTP 302呼应。 HTTP 302是用于暂时移动的重定向代码，多年来一向被进犯者乱用，比方几年前盛行的运用302缓冲的缝隙运用工具包。 该链接会重定向到www.cnnic [.] cn，即我国互联网络信息中心（CNNIC）。明显，这个域名对用户而言是无害的，只会让他们感到一头雾水，所以咱们决议开端研讨潜在的地舆定位。 地舆定位是一种技能，进犯者运用它来保证一切的受害者都来自特定的区域或国家，而像咱们这样的研讨人员很难追寻到这种活动。地舆定位常常由APT安排运用，但不常用于像JasperLoader这样的软件。为了测验，咱们将流量路由到了意大利IP空间。 当流量经过意大利IP空间路由时，成果会有很大差异。回来请求是一个ZIP文件，其间包含一个歹意VBS文件，该文件相似于咱们发现的前期样本。履行此VBS文件后，感染进程发动并装置加载程序。 这也阐明JasperLoader在持续运用域名暗影(Domain Shadowing)，并在进犯者操控的子域之间快速移动。下图显现了与JasperLoader运用的某一C2域的DNS解析，尽管规模有限，但能看出有超越95％的进犯事情来自意大利，地舆定位保护办法似乎是成功的。

JasperLoader功用改动 JasperLoader的感染进程仍具有多阶段的特征，包含用于在体系上树立立足点，发动与进犯者操控的基础设施的通讯，并完成加载器的中心功用。尽管许多处理函数与咱们之前对JasperLoader的剖析中描述的相似，可是歹意软件的操作有几个明显的改动，这些改动将在下面的末节中描述。 额定的混杂层 与之前在JasperLoader感染进程中所看到的相似，进犯者依托多层混杂来企图躲藏歹意软件的动作。混杂机制通常是运用字符替换机制，并在运行时经过数学计算来重构即将履行的PowerShell指令。歹意软件运用的的Visual Basic脚本(VBS)下载器也运用相同的进程。

在当时举动中，进犯者引入了额定一层混杂，用字符替换来进一步含糊底层的PowerShell。 对VBS进行反含糊处理后，底层PowerShell为：

对上图中的每个字符替换后会变成第一阶段的PowerShell，该文件用于从C2检索其他阶段。这一阶段PowerShell的样本是:

此PowerShell与之前的JasperLoader中的内容相似，但还有一些明显差异。 钓饵文件 从第一阶段的PowerShell中能够看出，它从指定的URL检索PDF并将其显现给用户。 此PDF不是歹意的，仅仅规划用作钓饵文档，这样当用户履行VBS时，就会有一个预期的成果。[1][2][3]黑客接单网