Cuidado com o aplicativo Fake do Telegram invadindo PCs
Instaladores trojanizados do aplicativo de mensagens Telegram estão sendo usados para distribuir o backdoor Purple Fox baseado no Windows em sistemas comprometidos.
Isso veio a tona de acordo com uma pesquisa realizada pela Minerva Labs, descrevendo o ataque como diferente das invasões que normalmente se aproveitam de software legítimo para descartar downloads maliciosos.
“Esse agente de ameaças conseguiu deixar a maior parte do ataque sob o radar, separando o ataque em vários arquivos pequenos, a maioria dos quais com taxas de detecção muito baixas pelos mecanismos [antivírus], com o estágio final levando à infecção pelo rootkit Purple Fox, “, disse a pesquisadora Natalie Zargarov .
Descoberto pela primeira vez em 2018, o Purple Fox vem com recursos de rootkit que permitem que o malware seja implantado fora do alcance das soluções de segurança e evite a detecção. Um relatório de março de 2021 da Guardicore, detalhou seu recurso de propagação semelhante a um worm, permitindo que o backdoor se espalhasse mais rapidamente.
FoxSocket
Então, em outubro de 2021, os pesquisadores da Trend Microo, um implante .NET chamado FoxSocket implantado em conjunto com o Purple Fox que aproveita o WebSockets para entrar em contato com seus servidores de comando e controle (C2) para um meio mais seguro de estabelecer comunicações.
“As capacidades de rootkit do Purple Fox o tornam mais capaz de realizar seus objetivos de maneira mais furtiva”, observaram os pesquisadores. “Eles permitem que a Purple Fox persista nos sistemas afetados, além de fornecer mais cargas úteis aos sistemas afetados”.
Por último, mas não menos importante, em dezembro de 2021, a Trend Micro também esclareceu os estágios posteriores da cadeia de infecção Purple Fox, que envolve o direcionamento de bancos de dados SQL inserindo um módulo SQL malicioso Common Language Runtime ( CLR ) para obter uma execução persistente e mais furtiva e em última análise, abusar dos servidores SQL para mineração ilícita de criptomoedas.
A nova cadeia de ataque observada pelo Minerva começa com um arquivo de instalação do Telegram, um script AutoIt que descarta um instalador legítimo para o aplicativo de bate-papo e um downloader malicioso chamado “TextInput.exe”, o último dos quais é executado para recuperar malware de próximo estágio de o servidor C2.
Download de arquivos
Posteriormente, os arquivos baixados prosseguem para bloquear processos associados a diferentes mecanismos antivírus, antes de avançar para o estágio final que resulta no download e execução do rootkit Purple Fox a partir de um servidor remoto agora desligado.
“Encontramos um grande número de instaladores maliciosos entregando a mesma versão do rootkit Purple Fox usando a mesma cadeia de ataque”, disse Zargarov. “Parece que alguns foram entregues por e-mail, enquanto outros, presumimos, foram baixados de sites de phishing.
Fonte da informação: The Hacker News
