Cảnh giác với ứng dụng Telegram Messenger giả mạo Máy tính tấn công bằng phần mềm độc hại Purple Fox

Ứng dụng Telegram Messenger

Các trình cài đặt Trojanized của ứng dụng nhắn tin Telegram đang được sử dụng để phân phối cửa sau Purple Fox dựa trên Windows trên các hệ thống bị xâm phạm.

Đó là theo nghiên cứu mới được công bố bởi Minerva Labs, mô tả cuộc tấn công khác với các cuộc xâm nhập thường lợi dụng phần mềm hợp pháp để thả các tải trọng độc hại.

“Kẻ gây ra mối đe dọa này đã có thể để hầu hết các phần của cuộc tấn công dưới radar bằng cách tách cuộc tấn công thành nhiều tệp nhỏ, hầu hết trong số đó có tỷ lệ phát hiện rất thấp bằng cách [antivirus] nhà nghiên cứu Natalie Zargarov cho biết ở giai đoạn cuối dẫn đến nhiễm rootkit Purple Fox.

Lần đầu tiên được phát hiện vào năm 2018, Purple Fox đi kèm với các khả năng rootkit cho phép lây lan ngoài tầm với của các giải pháp bảo mật và tránh bị phát hiện. Một báo cáo tháng 3 năm 2021 từ Guardicore đã nêu chi tiết về tính năng lan truyền giống như sâu của nó, cho phép backdoor lây lan nhanh hơn.

Sau đó vào tháng 10 năm 2021, các nhà nghiên cứu của Trend Micro đã phát hiện ra một bộ cấy .NET có tên là FoxSocket được triển khai cùng với Purple Fox, lợi dụng của WebSockets để liên hệ với các máy chủ điều khiển và kiểm soát (C2) của nó nhằm tạo ra một phương tiện thiết lập liên lạc an toàn hơn.

Xem tiếp:   Chi nhánh Ransomware bị bắt ở Romania; 51 kẻ môi giới dữ liệu bị đánh cắp bị bắt ở Ukraine

Các nhà nghiên cứu lưu ý: “Khả năng rootkit của Purple Fox giúp nó có nhiều khả năng thực hiện các mục tiêu của mình theo cách lén lút hơn”. “Chúng cho phép Purple Fox tồn tại trên các hệ thống bị ảnh hưởng cũng như cung cấp thêm tải trọng cho các hệ thống bị ảnh hưởng.”

Ứng dụng Telegram Messenger

Cuối cùng nhưng không kém phần quan trọng, vào tháng 12 năm 2021, Trend Micro cũng làm sáng tỏ các giai đoạn sau của chuỗi lây nhiễm Purple Fox, nhắm mục tiêu SQL bằng cách chèn mô-đun thời gian chạy ngôn ngữ chung SQL (CLR) độc hại để đạt được hiệu suất bền bỉ và lén lút hơn và cuối cùng là lạm dụng máy chủ SQL để khai thác bất hợp pháp.

Chuỗi tấn công mới được Minerva quan sát bắt đầu bằng tệp trình cài đặt Telegram, một tập lệnh AutoIt làm rơi trình cài đặt hợp pháp cho ứng dụng trò chuyện và trình tải xuống độc hại có tên “TextInputh.exe”, trình cài đặt thứ hai được thực thi để truy xuất phần mềm độc hại ở giai đoạn tiếp theo từ máy chủ C2.

Sau đó, các tệp đã tải xuống tiến hành chặn các quy trình được liên kết với các công cụ chống vi-rút khác nhau, trước khi chuyển sang giai đoạn cuối cùng dẫn đến việc tải xuống và thực thi rootkit Purple Fox từ một máy chủ từ xa hiện đã tắt.

Xem tiếp:   Phát hiện phần mềm độc hại có khả năng lây lan trên các thiết bị IoT bằng cách sử dụng phát điện từ

Zargarov cho biết: “Chúng tôi phát hiện thấy một số lượng lớn trình cài đặt độc hại cung cấp cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. “Có vẻ như một số được gửi qua email, trong khi một số khác mà chúng tôi cho rằng được tải xuống từ các trang web lừa đảo. Cái hay của cuộc tấn công này là mọi giai đoạn đều được tách thành một tệp khác, vô dụng nếu không có toàn bộ tệp.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …