Вначале соответствующий модуль проверяет папку %TEMP% на наличие файла конфигурации C2 (имя жестко прописано в коде).Anti-Malware.ru
В ответ LitterDrifter может получить пейлоад (в ходе исследования загрузок почти не происходило).Зловред также вооружен счетчиком отказов C2.Anti-Malware.ru
Все используемые вредоносом домены привязаны к TLD-зоне RU и зарегистрированы через REGRU-RU.Согласно VirusTotal, атаки с применением LitterDrifter наиболее часты на Украине.Anti-Malware.ru
Образцы для проверки также поступали из США, Вьетнама, Чили, Польши, Германии и Гонконга.По данным Mandian, в первой половине 2023 года число атак, использующих зараженные флешки для кражи данных, возросло в три раза.Anti-Malware.ru