Сначала целью атаки хакеров был скрытый майнинг, но обновленная версия вредоноса получила возможность саморапространения, проведения DDos-атак и подбора паролей для взлома с помощью брутфорса.
Вирус использует уязвимости Windows, угрожая в первую очередь компьютерам, игнорирующим обновления, работающих на старых версиях ПО. Lucifer распространяется с помощью эксплойтов спецслужб, которые находятся в руках хакеров с 2017-го года: DoublePulsar, EternalBlue и EternalRomance.
Попав в систему зловред устанавливает XMRig для скрытой добычи Monero, защищенный от аналитических программ, настроенный на поиск несанкционированных нагрузок процессора. Программа также включает режим самораспространения, запуская сканирование портов TCP 135 (RPC) и 1433 (MSSQL) и брутфорс. При подборе паролей Lucifer использует словари на 300 распространенных имен и словосочетаний.
Зараженный компьютер может управляться удаленно через уязвимость CVE-2019-9081, хакеры таким образом получают украденную информацию или могут организовать направленную DDoS атаку. В Palo Alto Networks отмечают, что на все эксплуатируемые Люцифером эксплойты, выпущены патчи. Защититься от вируса поможет поддержание ПО систем в актуальном состоянии и надежные пароли.