سودآوری استخراج ارز های رمزپایه باعث شده است، مجرمان سایبری روش هایی را برای مخفی کردن بدافزار ها و ابزار های غیر قانونی استخراج خود به کار گیرند تا بتوانند به صورت مخفیانه و غیر قابل شناسایی، مدت زمان بیشتری به استخراج بپردازد. کارشناسان امنیتی اخیرا شناسایی کرده اند که بدافزار استخراج Coinminer.Win32.MALXMR.TIAOODAM از ابزار نصب نرم افزار های سیستم عامل ویندوز (Windows Installer) به عنوان پوششی برای مخفی شدن استفاده می کند. بررسی های کارشناسان بیانگر آن است که این بدافزار خود را تحت عنوان فایل نصب کننده نرم افزار معرفی می کند و در سیستم های قربانی اجرا می شود. نصب کننده نرم افزار یک برنامه معتبر است که برای نصب، بروزرسانی و حذف نرم افزار ها به کار می رود. همچنین Windows Installer یکی از کامپوننت های ویندوز می باشد که امکان دور زدن بعضی از فیلتر های امنیتی برای آن فراهم است. این بدافزار از نصب کننده نرم افزار WiX برای بسته بندی استفاده می کند تا امکان خرابکاری های بیشتر برای آن فراهم باشد. پس از نصب، بدافزار استخراج کننده، دانلود و یا ساخته می شود و در مسیر خاصی قرار می گیرد. این مسیر تمام فایل های مورد نیاز برای استخراج را در بر می گیرد که در ادامه به آن اشاره شده است:
- bat: یک فایل اسکریپت که شامل لیستی از پردازش های ضد بدافزار (antimalware) در حال اجرا می باشد و برای خاتمه دادن به آن ها به کار می رود.
- exe: ابزاری است که برای از حالت فشرده خارج کردن (unzipping tool) فایل icon.ico به کار می رود.
- ico: یک فایل فشرده رمزدار بوده که شامل دو ماژول ocx و bin می باشد.
گام بعدی این بدافزار مخفی کردن API ها برای جلوگیری از شناسایی می باشد که بدین منظور کپی هایی از فایل کرنل (kernel file) ntdll.dll و کامپوننت ویندوز یوزر (Windows USER component) user32.dll را در مسیر %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server\{Random Numbers} ایجاد می کند و سپس استخراج کننده را در مسیر %UserTemp%\[Random Number] قرار می دهد. این بدافزار تزریق کد را از طریق سه پروسس Service Host انجام می دهد و در صورتی که همه پروسس های ایجاد شده توسط بدافزار خاتمه یابد، این سه پروسس اقدام به بارگذاری دوباره بدافزار می کنند. پروسس های Service Host وظیفه اجرای DLL ها جهت استفاده در برنامه های مختلف را بر عهده دارند. بررسی های انجام شده نشان می دهد که این بدافزار توسط هکر های روسی نوشته شده است، زیرا از زبان Cyrillic در نصب کننده نرم افزار استفاده شده است که در حوزه برنامه نویسی بیشتر به روس زبان ها تعلق دارد.