一種名為sLoad的新型PowerShell下載器正在進行測試，它採用了令人印象深刻的偵察戰術和地理圍欄技術。

SLoad於2018年5月首次被發現，它通常會傳播Ramnit銀行木馬(但也被觀察到抓取Gootkit、DarkVNC、Ursnif和PsiXBot)。它需要在交付有效載荷之前瞭解目標。

根據Proofpoint分析，sload所在的惡意軟體收集有關受感染系統的資訊，包括正在執行的程序列表，Outlook資訊以及Citrix相關檔案，它還將抓取目標裝置的截圖。

“這是我們在過去幾個月發現的組成事件的另外一部分，威脅演員繼續採用具有豐富偵察功能、不易被觀察到的載體。通過使用能夠評估受感染系統的裝載器，參與者可以更加靈活清晰地選擇目標，並提高受感染裝置與預想目標的匹配度，從而彌補過去幾年大規模勒索軟體和攻擊銀行有關的“spray-and-pray”活動中的不足。”Proofpoint的威脅情報負責人Chris Dawson告訴媒體。

Proofpoint追蹤到這款惡意軟體的源頭是他們從2017年初就開始跟蹤的威脅組織（Proofpoint內部將其命名為TA554）。TA554在最近的活動中用sLoad專門搭載Ramnit銀行木馬，他們通常使用各種銀行木馬瞄準攻擊加拿大、英國、義大利的組織。TA554會使用目標國家的語言製作的電子郵件進行攻擊，郵件內容（比如郵件主題、主體）會針對目標“個性化定製”。這些電子郵件包含連結到壓縮LNK檔案或壓縮文件的URL。他們經常利用包裹投遞或訂單通知受害者。

LNK檔案或文件巨集依次下載下一個階段——如典型的PowerShell指令碼，它可以下載最終的有效負載或sload這樣的下載器。”有趣的是，攻擊者在感染鏈的所有環節中使用地理圍欄，（即根據通過IP地址確定使用者的位置，相應限制對內容的訪問），包括下載dropper、PowerShell，sLoad與它指揮和控制（C2）伺服器，以及它接收任務或命令的環節。

Proofpoint表示，從5月份開始，出現多個不同的sLoad版本，引入了增量式的變化。例如10月22日，這位演員在zipped-LNK下載步驟中添加了一個面向受害者的著陸程式，這樣最初的. lnk檔案就可以直接下載sLoad，而不需要額外的PowerShell作為橋樑。

另外，sLoad會標記受感染的系統，令威脅行為者能夠更好地為他們看中的有效載荷選擇感興趣的目標。在這種情況下，最終的有效負載通常是一個銀行木馬，通過它，參與者不僅可以竊取額外的資料，還可以對受感染的個人進行人工瀏覽器攻擊。不過，與sLoad、Marap一樣，無論在避開供應商沙箱、將勒索軟體交付給一個似乎擁有關鍵任務的系統上，還是將銀行木馬交付給最有可能獲得回報的系統方面，下載器也為威脅行為者提供了高度的靈活性。