トレンドマイクロは、情報窃取型マルウェア「CopperStealer」やアドウェア「LNKR」を含む複数の不正プログラムへ連鎖して感染させる海賊版ソフトウェア配布サイトを多数調査しました。これらの検体は通常、ペイ・パー・インストール(Pay Per Install, PPI:インストールごとに費用が支払われるモデル)のアフィリエイトネットワークを介して頒布されます。トレンドマイクロの解析では、弊社が発見したCopperStealerの検体は感染端末の表示言語が中国語に設定されていたり、サンドボックス内で実行あるいはデバッガ内で解析されたりするとすべての不正活動を終了する解析困難化の活動を持っていました。また、このCopperStealerを起点とする攻撃では、以下のような不正活動が感染環境で行われるものとわかりました:
・特定のWebブラウザに保存されたGoogleアカウントや各種SNSなどの認証情報やCookieを取得する
・悪意のあるブラウザ拡張機能をインストールする
・利用者のソーシャルメディア上での情報を取得する
・ブラウザ上から入力された内容を詐取する
・表示されたWebページに広告を注入する
・広告のIDを改変し、広告収入を横取りする