Purple Fox rootkit otkriven u zlonamjernim programima za instalaciju Telegrama

  • Nov 01, 2023

Rezanje datoteka omogućuje zlonamjernom softveru da ostane ispod radara.

Istraživači su upozorili da se rootkit Purple Fox sada distribuira putem zlonamjernih, lažnih programa za instalaciju Telegrama na internetu.

ZDNET preporučuje

  • Najbolji VPN servisi
  • Najbolji sigurnosni ključevi
  • Najbolji antivirusni softver
  • Najbrži VPN-ovi

Ovaj tjedan, Minerva Labs tim za kibernetičku sigurnost, koji radi s MalwareHunterTeamom, rekao je da se Purple Fox maskira kroz datoteku pod nazivom "Telegram Desktop.exe". Oni koji vjeruju instaliraju popularnu uslugu razmjene poruka, umjesto toga postaju natovareni zlonamjernim softverom -- a proces infekcije otežava otkriti.

Prvi put otkriven 2018., Purple Fox se širio raznim sredstvima, uključujući phishing e-poštu, zlonamjerne poveznice i pakete za iskorištavanje. Međutim, u posljednjih nekoliko godina metode distribucije su se proširile na kompromitiranje ranjivih internetskih usluga, izložene SMB usluge i lažne instalatere.

Zlonamjerni instalacijski program za Telegram razvijen je kao kompajlirana AutoIt skripta. Nakon izvršenja, legitimni program za instalaciju Telegrama ispušta se – ali se nikada ne koristi – zajedno sa zlonamjernim programom za preuzimanje pod nazivom TextInputh.exe.

Napad se zatim dijeli na nekoliko malih datoteka, tehnika za koju Minerva kaže da je akteru prijetnje omogućila da ostane ispod radar – a većina datoteka "imala je vrlo niske stope detekcije od strane AV motora, s posljednjom fazom koja je dovela do Purple Fox rootkita infekcija."

TextInputh.exe stvara novu mapu i povezuje se s poslužiteljem za naredbe i kontrolu (C2) zlonamjernog softvera. Zatim se preuzimaju i pokreću dvije nove datoteke, koje raspakiraju .RAR arhive i datoteku koja se koristi za reflektivno učitavanje zlonamjernog. DLL.

Ključ registra se stvara kako bi se omogućila postojanost na zaraženom računalu, a pet daljnjih datoteka ispušta se u Mapa ProgramData za obavljanje funkcija, uključujući gašenje širokog spektra antivirusnih procesa prije Purple Foxa konačno raspoređeni.

Trojanac Purple Fox dolazi u 32-bitnoj i 64-bitnoj Windows varijanti. U ožujku prošle godine, Guardicore Labs otkrio je da su nove mogućnosti crva integrirane u zlonamjerni softver, a tisuće ranjivih poslužitelja su oteli kako bi ugostili korisni sadržaj Purple Fox.

Do listopada, Trend Micro otkrio je novi .net backdoor, nazvan FoxSocket, za koji se vjeruje da je novi dodatak postojećim mogućnostima zlonamjernog softvera.

S obzirom da zlonamjerni softver sada sadrži rootkit, funkcionalnost crva i da je nadograđen robusnijim stražnjim vratima, uključivanje tajniji proces zaraze znači da će istraživači kibernetičke sigurnosti vjerojatno pomno pratiti budućnost ovog zlonamjernog softvera razvoj.

"Ljepota ovog napada je u tome što je svaka faza odvojena u drugu datoteku koja je beskorisna bez cijelog skupa datoteka", primijetio je tim. "Ovo pomaže napadaču da zaštiti svoje datoteke od AV detekcije."

Prethodno i povezano izvješće

  • Zlonamjerni softver Purple Fox razvija se kako bi se proširio na Windows strojeve.
  • Ovo je savršena žrtva ransomwarea, prema cyber kriminalcima.
  • Otkriven kibernetički napad na akademiju za obuku Ministarstva obrane Ujedinjenog Kraljevstva.

Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0

Sigurnost

8 navika iznimno sigurnih radnika na daljinu
Kako pronaći i ukloniti špijunski softver s telefona
Najbolje VPN usluge: Kako se uspoređuju prvih 5?
Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće