El troyano Hancitor, también conocido como Chanitor, es un programa de descarga que se observó por primera vez en 2014. En aquel entonces, distribuía su carga útil a través de un archivo adjunto de documentos electrónicos de Microsoft Word con macros maliciosos incrustados. Con los años, se han visto varios sabores en la naturaleza con una variedad de técnicas de infección. Algunos ejemplos:
Una macro en un documento adjunto contiene shellcode codificado y usa llamadas API nativas dentro de Visual Basic (VB) para pasar la ejecución, crear y descifrar el malware incrustado. Otro sabor que se ve en la naturaleza implica un archivo adjunto malicioso que descarga una carga adicional para descargar el malware sin archivos Pony / Evil Pony o los ejecutables Zeus / Vawtrak, que luego roba datos y se conecta a un servidor C2. El troyano Hancitor generalmente usa correos electrónicos de phishing como método de infección. Varias campañas de correo electrónico de phishing entregaron notificaciones falsas de tickets de estacionamiento. El mensaje solicita al destinatario que haga clic en el enlace para pagar su boleto y dirige a la víctima a un documento malicioso de Microsoft Word.
Otro spam de correo electrónico común que se ve se origina en Intuit o HalloFax, alienta al usuario a descargar un fax, que luego desencadena la infección.