O MidgeDropper, uma variante de dropper que não havia sido vista anteriormente, apresenta uma cadeia de infecção complexa, que inclui ofuscação de código e sideloading.

O vetor de infecção inicial não estava disponível para os pesquisadores durante a investigação. No entanto, suspeita-se fortemente que tenha sido um e-mail de phishing, pois havia um arquivo RAR que provavelmente seria o anexo de um e-mail.

Dentro deste arquivo, havia dois arquivos: um PDF que atuava como um chamariz e um arquivo executável. O executável, de tamanho considerável, funcionava principalmente como um dropper para as etapas subsequentes de infecção.

O executável solta vários arquivos e também se conecta a um endereço específico para baixar o arquivo “seAgnt.exe”. Este arquivo é uma cópia renomeada de um aplicativo publicado pela Microsoft.

Embora seja benigno por si só, ele depende de “VCRUNTIME140_1.dll”. Esta dependência permite que o código malicioso dentro da DLL seja executado.

A técnica utilizada é chamada de sideloading, onde uma dependência de um aplicativo legítimo é sequestrada para permitir que o código malicioso seja carregado.