Méfiez-vous des faux PC de piratage de l’application Telegram Messenger avec Purple Fox Malware



Les programmes d’installation de chevaux de Troie de l’application de messagerie Telegram sont utilisés pour déployer la porte dérobée Purple Fox basée sur Windows sur des systèmes compromis. C’est selon une nouvelle recherche publiée par Minerva Labs, qui décrit l’attaque comme différente des intrus qui exploitent généralement des logiciels légitimes pour libérer des charges utiles malveillantes.

“Cet acteur de la menace a pu garder la plupart de l’attaque sous le radar en décomposant l’attaque en plusieurs petits fichiers, dont la plupart avaient des taux de détection très faibles par le [antivirus] moteurs, la dernière étape menant à l’infection du rootkit Purple Fox, a déclaré la chercheuse Natalie Zargarov.

Découvert pour la première fois en 2018, Purple Fox est livré avec des fonctionnalités de rootkit qui permettent au malware d’être implanté hors de portée des solutions de sécurité et d’échapper à la détection. Un rapport de mars 2021 de Guardicore a détaillé sa fonction de propagation de type ver, permettant à la porte dérobée de se propager plus rapidement.

Puis, en octobre 2021, les chercheurs de Trend Micro ont découvert un implant .NET baptisé FoxSocket distribué en partenariat avec Purple Fox qui utilise WebSockets pour contacter ses serveurs de commande et de contrôle (C2) afin d’établir des communications plus sécurisées.

“Les capacités du rootkit Purple Fox le rendent plus capable d’atteindre ses objectifs de manière plus furtive”, ont noté les chercheurs. « Ils permettent à Purple Fox de persister sur les systèmes concernés et de fournir des charges utiles supplémentaires aux systèmes concernés.

Enfin et surtout, en décembre 2021, Trend Micro a également mis en lumière les dernières étapes de la chaîne d’infection de Purple Fox, ciblant les bases de données SQL en insérant un module SQL Common Language Runtime (CLR) malveillant pour obtenir une exécution persistante et plus furtive et finalement abuser les serveurs SQL pour le minage illicite de crypto-monnaie.


La nouvelle chaîne d’attaques observée par Minerva commence par un fichier d’installation de Telegram, un script AutoIt qui publie un programme d’installation légitime pour l’application de chat et un téléchargeur malveillant appelé “TextInputh.exe”, ce dernier étant exécuté pour récupérer le prochain malware du serveur C2.

Ensuite, les fichiers téléchargés bloquent les processus associés aux différents moteurs antivirus, avant de passer à l’étape finale de téléchargement et d’exécution du rootkit Purple Fox à partir d’un serveur distant qui est désormais en panne. installateurs fournissant la même version du rootkit Purple Fox en utilisant la même chaîne d’attaque », a déclaré Zargarov.

« Certains semblent avoir été envoyés par courrier électronique, tandis que d’autres, supposons-nous, ont été téléchargés à partir de sites Web de phishing. La beauté de cette attaque est que chaque étape est séparée pour un fichier différent, ce qui est inutile sans tous les fichiers.

La source: L’actualité des hackers





Source link