Lo que dificulta la detección inicial de estas extensiones maliciosas para el usuario es que, después de que se descarga la llamada utilidad, intenta instalar la extensión legítima. De esa manera, el usuario todavía obtiene la herramienta que esperaba.
El script de PowerShell intenta ejecutar la carga útil maliciosa con los permisos del administrador, dice el informe. Si no tiene los permisos apropiados, el script intenta crear otro directorio System32 y copiar el archivo ComputerDefaults.exe. Luego, el script crea su propia dll maliciosa llamada mlang.dll e intenta ejecutarlo usando el ejecutable ComputerDefaults.
El script PowerShell contiene los DLL y el ejecutable de Troya como cadenas codificadas básicas de base64, dice el informe. Decodifica el troyano y lo escribe, como Launcher.exe, al directorio que creó y excluyó del monitoreo por Windows Defender.
