2.6.2020 okoli 12 ure je bilo na večje število slovenskih elektronskih naslovov poslano sporočilo z zadevo ” Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020″. Sporočilo vsebuje zip arhiv “prijavnica za preventivno opremo·pdf.zip”, ki vsebuje datoteko “prijavnica za preventivno opremo·pdf.exe”. Exe datoteka je virus vrste lokibot, ki spada v kategorijo “information stealer” virusov.
Po zagonu prenese dodatno binarno kodo iz https://drive.google.com in jo izvede. Prvotno izvršljivo datoteko izbriše. Analiza ni pokazala prisotnosti mehanizmov za persistentnost med zagoni sistema. Virus vsebuje funkcionalnost keyloggerja, krade pa tudi shranjene poverilnice (gesla) v različnih programih, med drugimi: Opera, Chromodo, Coowon, Titan Browser, Microsoft Sticky Notes, Mustang Browser, Google Chrome, Notezilla, Epic Privacy Browser, 360 Browser, Citrio, Orbitum, Iridium, TrulyMail, Superbird, Yandex Browser, Xftp, BlazeFTP, Automize, Filezilla, AbleFTP, Gmail Notifier Pro, in drugi.
