Elastic Security Labs heeft twee op maat gemaakte malwarecomponenten ontdekt die gericht waren op een Zuid-Aziatische financiële instelling. Het gaat om een modulaire backdoor met verspreiding via USB, genaamd BRUSHWORM, en een keylogger die zich voordoet als libcurl.dll, BRUSHLOGGER.

BRUSHWORM fungeert als het hoofdimplantaat en is verantwoordelijk voor installatie, het behouden van toegang, communicatie met command-and-control servers, het downloaden van aanvullende modules, verspreiding via verwisselbare media en het stelen van bestanden met specifieke extensies zoals documenten, spreadsheets, e-mailarchieven en broncode. De malware voert eenvoudige anti-analysecontroles uit, waaronder het controleren van schermresolutie, gebruikersnaam, computernaam en het detecteren van virtualisatieomgevingen. Daarnaast monitort BRUSHWORM muisactiviteit om sandboxomgevingen te herkennen.

BRUSHLOGGER werkt als aanvulling en registreert toetsaanslagen systeemwijd via een Windows keyboard hook, waarbij ook de context van het actieve venster wordt vastgelegd. De keylogger gebruikt DLL side-loading om zich voor te doen als de legitieme libcurl-bibliotheek en slaat logbestanden versleuteld op met XOR-encryptie.

De malware vertoont geen geavanceerde code-obfuscatie of packing en bevat diverse programmeerfouten. Analyse van eerdere versies, gevonden via VirusTotal, toont dat de malware zich in een iteratief ontwikkelingsstadium bevindt, waarbij gebruik is gemaakt van gratis dynamische DNS-diensten. Dit wijst op een relatief onervaren ontwikkelaar die mogelijk AI-codegeneratie heeft ingezet zonder grondige controle.