Исследователи из компании McAfee обнаружили взломанный сервер, который использовали как командный сервер для разных приложений для кражи паролей. Целью были несколько организаций в рамках проведения кампании промышленного шпионажа.
Раскрыть действия злоумышленников помогла невнимательность с их стороны, поскольку они не удалили с одного из серверов архив ZIP с установочными файлами. Их анализ вместе с исходным кодом командного сервера позволили узнать компонент ISR Stealer, модифицированную версию инфостилера Hackhound, впервые обнаруженного в 2009 году.
Хакеры использовали IRS Stealer для создания программы кражи паролей из таких приложений, как Internet Explorer, Firefox, Google Chrome, Opera, Safari, Yahoo Messenger, MSN Messenger, Pidgin, FileZilla, Internet Download Manager, JDownloader и Trillian. Распространялась программа в архивах через фишинговые электронные письма с различные компании.
Архивы RAR и Z содержали исполняемые файлы, загружавшие программу кражи паролей. Пароли передавались на командные серверы через HTTP. Серверный компонент IRS Stealer принимал данные только в том случае, если строка user agent имела значение «HardCore Software For : Public», специфичное для компонента на стороне клиента. Данные сохраняются в виде файла формата INI.
Кампания была начата как минимум в январе 2016. На одном из взломанных сайтов было найдено более десяти командных серверов.