بدافزار سرقت اطلاعات LokiBot دوباره در یک پویش هرزنامه توزیع شده است که از پیوست فایلهای ایمیج ISO استفاده میکند. پویش مشابه آن در ماه آگوست سال ۲۰۱۸ میلادی گزارش شد اما بهصورت یک روش توزیع غیرمعمول باقی ماند. این پویش جدید بهطور مجزا بدافزار NanoCore را توزیع میکند. فایلهای ایمیج ISO طراحی شدهاند تا محتوای کامل یک دیسک نوری را در بر گیرند. به این ترتیب سایز فایلهای قانونی ۱۰۰ مگابایت یا بیشتر است. سایز فایلهای ISO مشاهدهشده ۱ تا ۲ مگابایت بود که این سایز برای فایلهای ایمیج غیرمعمول است.
تاکنون، Netskope حدود ۱۰ نوع بدافزار در پویش فعلی شناسایی کرده است که از فایلهای ایمیج ISO و ایمیلهای مختلف استفاده میکند و محتوای آنها همیشه LokiBot و NanoCore بوده است. پویش فعلی در ماه آوریل سال ۲۰۱۹ میلادی و با یک پیام عمومی در مورد یک صورتحساب آغاز شد. به نظر نمیرسید که این پویش اشخاص و یا شرکتهای خاصی را هدف قرار دهد. بااینحال، درصورتیکه ایمیل در صندوق دریافت کاربر دریافت شود، به دلیل اینکه فایلهای ISO اغلب در فهرست سفید موتورهای اسکن قرار دارند، مهاجمان میتوانند از این مسأله بهرهبرداری کنند. علاوهبرآن، درصورتیکه کاربر هدف به آنها مشکوک نشود و روی پیوست آنها کلیک کنند، بسیاری از سیستم عاملها بهصورت خودکار فایل ایمیج را شناسایی و باز میکنند.
LokiBot نیز تا پایان سال ۲۰۱۸ میلادی در قالبی توزیع میشد که برای فریب گیرندگان طراحی شده بود. در آن زمان، این بدافزار بهعنوان یک فایل توزیع شد که از فرمت .com استفاده میکرد و احتمالاً امیدوار بود که قربانیان این فایل را بهعنوان یک فایل اجرایی تشخیص ندهند. آخرین نسخهی LokiBot نسبت به نسخههای قبلی کمی تغییر یافته است. روشهای جدید شامل استفاده از تابع IsDebuggerPresent() برای تعیین اینکه آیا بدافزار داخل یک debugger بارگذاری شده است و روش ضد VM معمول برای اندازهگیری تفاوت زمان محاسباتی بین CloseHandle() و GetProcessHeap() بهمنظور تشخیص اینکه آیا داخل یک VM اجرا میشود، هستند.
LokiBot پس از اجرا بیش از ۲۵ مرورگر وب مختلف را کاوش میکند تا اطلاعات مرور را به سرقت ببرد و وجود ابزارهای مدیریت راه دور محبوب مانند SSH، VNC و RDP را بررسی میکند. بدافزار جایگزینی که در این پویش توزیع شده NanoCore RAT است که توسط Taylor Huddlestone توسعه داده شده است. یک نسخهی کرکشده از آن در انجمنهای اینترنتی مختلف برای دانلود در دسترس قرار گرفته است. این نسخه از AutoIT بهعنوان پوشش سطح بالا برای باینری کامپایلشدهی .NET اصلی خود استفاده میکند. اسکریپت AutoIT که مبهمسازی شده است پس از دیکامپایل، باینری .NET را ایجاد میکند.
NanoCore از سال ۲۰۱۳ میلادی در دسترس بوده و از اینترنت قابل دانلود است. این بدافزار یک تروجان مؤلفهای است که میتوان آن را اصلاح کرد تا افزونههای اضافی نیز داشته باشد و میتوان عملکرد آن را براساس نیاز کاربر توسعه داد. NanoCore در این پویش میتواند دادههای کلیپبورد، فشار دادن کلیدها و اطلاعات مربوط به اسناد ذخیرهشده را جمعآوری کند و از FTP برای استخراج غیرمجاز اطلاعات سرقتی استفاده کند.