Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.
Fuld biografi udgivet i Zero Day den 5. januar 2022 | Emne: Sikkerhed
The Purple Fox rootkit bliver nu distribueret gennem ondsindede, falske Telegram-installatører online, har forskere advaret.
I denne uge sagde Minerva Labs cybersikkerhedsteam, der arbejder med MalwareHunterTeam, at Purple Fox bliver forklædt gennem en fil med navnet “Telegram Desktop.exe.” De, der tror, at de installerer den populære beskedtjeneste, bliver i stedet fyldt med malware – og infektionsprocessen har gjort det sværere at opdage.
Purple Fox blev først opdaget i 2018 og er blevet spredt på en række forskellige måder, herunder phishing-e-mails, ondsindede links og udnyttelsessæt. Men i de seneste par år er distributionsmetoderne udvidet til at omfatte kompromittering af sårbare internet-vendte tjenester, afslørede SMB-tjenester og falske installatører.
Det ondsindede Telegram-installationsprogram er udviklet som et kompileret AutoIt-script. Ved udførelse droppes et legitimt Telegram-installationsprogram – men bliver aldrig brugt – sammen med en ondsindet downloader kaldet TextInputh.exe.
Angrebet opdeles derefter i flere små filer, en teknik, som Minerva siger, gjorde det muligt for trusselsaktøren at forblive under radaren – og de fleste af filerne “havde meget lave detektionshastigheder af AV-motorer, hvor den sidste fase førte til Purple Fox rootkit-infektion .”
TextInputh.exe opretter en ny mappe og opretter forbindelse til malwarens kommando-og-kontrol-server (C2). Derefter downloades og udføres to nye filer, som udpakker .RAR-arkiver og en fil, der bruges til reflekterende indlæsning af en ondsindet .DLL.
En registreringsnøgle oprettes for at muliggøre persistens på en inficeret maskine, og yderligere fem filer slippes i ProgramData-mappen for at udføre funktioner, herunder nedlukning af en lang række antivirusprocesser, før Purple Fox endeligt implementeres.
The Purple Fox Trojan kommer i både 32-bit og 64-bit Windows-varianter. I marts sidste år fandt Guardicore Labs ud af, at nye ormefunktioner var blevet integreret i malwaren, og tusindvis af sårbare servere var blevet kapret til at være vært for Purple Fox-nyttelaster.
I oktober afslørede Trend Micro en ny .net-bagdør, kaldet FoxSocket, som menes at være en ny tilføjelse til malwarens eksisterende muligheder.
I betragtning af at malwaren nu indeholder et rootkit, ormefunktionalitet og er blevet opgraderet med en mere robust bagdør, betyder inkluderingen af en mere skjult infektionsproces, at cybersikkerhedsforskere sandsynligvis vil holde et vågent øje med denne malwares fremtidig udvikling.
“Det smukke ved dette angreb er, at hvert trin er adskilt til en anden fil, som er ubrugelig uden hele filsættet,” bemærkede teamet. “Dette hjælper angriberen med at beskytte sine filer mod AV-detektion.”
Tidligere og relateret dækning
Purple Fox malware udvikler sig til at sprede sig på tværs af Windows-maskiner
Dette er det perfekte ransomware-offer ifølge cyberkriminelle
Cyberangreb mod det britiske forsvarsministeriums træningsakademi afsløret< br>
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre