Charlie Osborne er en cybersikkerhetsjournalist og fotograf som skriver for ZDNet og CNET fra London. PGP-nøkkel: AF40821B.
Full bio publisert i Zero Day 5. januar 2022 | Emne: Sikkerhet
Forskere har advart om at Purple Fox rootkit nå distribueres gjennom ondsinnede, falske Telegram-installatører på nettet.
Denne uken sa Minerva Labs cybersikkerhetsteam, som jobber med MalwareHunterTeam, at Purple Fox blir forkledd gjennom en fil kalt “Telegram Desktop.exe.” De som tror de installerer den populære meldingstjenesten, blir i stedet lastet med skadelig programvare – og infeksjonsprosessen har gjort det vanskeligere å oppdage.
Først oppdaget i 2018, har Purple Fox blitt spredt på en rekke måter, inkludert phishing-e-poster, ondsinnede koblinger og utnyttelsessett. Imidlertid har distribusjonsmetoder de siste årene utvidet seg til å omfatte kompromittering av sårbare internettvendte tjenester, utsatte SMB-tjenester og falske installatører.
Det ondsinnede Telegram-installasjonsprogrammet er utviklet som et kompilert AutoIt-skript. Ved kjøring blir et legitimt Telegram-installasjonsprogram droppet – men aldri brukt – sammen med en ondsinnet nedlaster kalt TextInputh.exe.
Angrepet deles deretter opp i flere små filer, en teknikk som Minerva sier tillot trusselaktøren å holde seg under radaren – og de fleste filene “hadde svært lave deteksjonshastigheter av AV-motorer, med den siste stadium som fører til Purple Fox rootkit-infeksjon.”
TextInputh.exe oppretter en ny mappe og kobler til malwares kommando-og-kontroll-server (C2). To nye filer blir deretter lastet ned og utført, som pakker ut .RAR-arkiver og en fil som brukes til å laste en ondsinnet reflekterende.DLL.
En registernøkkel opprettes for å muliggjøre utholdenhet på en infisert maskin, og ytterligere fem filer slippes inn i ProgramData-mappen for å utføre funksjoner, inkludert å slå av et bredt spekter av antivirusprosesser før Purple Fox endelig blir distribuert.
Purple Fox Trojan kommer i både 32-biters og 64-biters Windows-varianter. I mars i fjor fant Guardicore Labs at nye ormefunksjoner var integrert i skadelig programvare, og tusenvis av sårbare servere var blitt kapret for å være vert for Purple Fox-nyttelaster.
Innen oktober avdekket Trend Micro en ny .net-bakdør, kalt FoxSocket, som antas å være et nytt tillegg til de eksisterende egenskapene til skadevare.
Gitt at skadevaren nå inneholder et rootkit, ormefunksjonalitet og har blitt oppgradert med en mer robust bakdør, betyr inkluderingen av en skjult infeksjonsprosess at cybersikkerhetsforskere sannsynligvis vil følge nøye med på denne skadevarens fremtidige utvikling.
“Det fine med dette angrepet er at hvert trinn er atskilt til en annen fil som er ubrukelig uten hele filsettet,” bemerket teamet. “Dette hjelper angriperen med å beskytte filene sine mot AV-deteksjon.”
Tidligere og relatert dekning
Purple Fox malware utvikler seg for å spre seg på tvers av Windows-maskiner.
Dette er det perfekte løsepenge-offeret, ifølge nettkriminelle.
Cyberangrep mot opplæringsakademiet for det britiske forsvarsdepartementet avslørt.
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Sikkerhet
De største datainnbruddene, hackingene fra 2021 Copycat og kjepphackere vil være leverandørkjedesikkerhetens bane. i 2022 Sikkerhet vil være prioritet #1 for Linux og åpen kildekode-utviklere i år De 5 beste VPN-tjenestene i 2022 Security TV | Databehandling | CXO | Datasentre