Các phần mềm độc hại giả mạo ứng dụng nhắn tin Telegram đang được sử dụng để phát tán backdoor Purple Fox lên các hệ thống Windows.
Theo nghiên cứu của Minerva Labs, chiến dịch này khác với các cuộc xâm nhập khác lợi dụng phần mềm hợp pháp để phát tán mã độc: mỗi giai đoạn của chuỗi lây nhiễm sẽ được tách riêng thành một tệp và cần đẩy đủ tất cả các tệp để kích hoạt tấn công.
"Tin tặc đã phân tách mã độc thành các tệp nhỏ, được triển khai theo nhiều giai đoạn để tránh sự phát hiện của các công cụ chống vi-rút và lây nhiễm rootkit Purple Fox”.
Rootkit Purple Fox được phát hiện lần đầu vào năm 2018, có khả năng lây nhiễm, cài cắm các phần mềm độc hại khác và tránh được sự phát hiện của các hệ thống bảo vệ.
Vào tháng 10 năm 2021, các nhà nghiên cứu của Trend Micro đã phát hiện ra một backdoor khác có tên là FoxSocket được triển khai cùng với Purple Fox, đã lợi dụng WebSockets để kết nối với các máy chủ C2 (command-and-control) của kẻ tấn công được dùng để lưu trữ các phần mềm độc hại.
Tháng 12 năm 2021, Trend Micro đã đưa ra phân tích chi tiết cho các giai đoạn của chuỗi lây nhiễm Purple Fox, cho biết mã độc nhắm mục tiêu vào các máy chủ SQL để khai thác tiền điện tử bất hợp pháp.
Minerva phát hiện chuỗi tấn công mới bắt đầu bằng tệp cài đặt Telegram, một tập lệnh bao gồm chương trình cài đặt hợp pháp của ứng dụng trò chuyện kèm theo một tệp độc hại có tên "TextInputh.exe". Tệp cài đặt thứ hai được thực thi sẽ tải về phần mềm độc hại ở giai đoạn tiếp theo từ máy chủ C2 (hiện đã ngừng hoạt động).
Các tệp đã tải xuống sẽ chặn các tiến trình liên kết với các công cụ antivirus, nhằm mục đích che dấu, ngăn sự phát hiện của các công cụ bảo vệ, trước khi chuyển sang giai đoạn cuối để hoàn thành việc tải xuống và thực thi rootkit Purple Fox.
Zargarov cho biết “đã phát hiện thấy một số lượng lớn các chương trình cài đặt độc hại cung cấp cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. "Một số được gửi qua email, một số khác có thể được tải xuống từ các trang web lừa đảo."
Cẩn thận với bất kỳ ứng dụng nào bạn tải xuống từ các liên kết lạ vì chúng có nguy cơ ẩn chứa mã độc.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Bất kỳ ai thực hiện copy-paste các lệnh từ các trang web vào console hoặc terminal đều có nguy cơ bị xâm phạm hệ thống
Tín nhiệm mạng | Microsoft đã phát hành một bản vá khẩn cấp cho một lỗ hổng dẫn đến việc trì hoãn gửi email trên các máy chủ vật lý Microsoft Exchange được phát hiện khi vừa bắt đầu nă m 2022.
Tín nhiệm mạng | Các nhà nghiên cứu Hàn Quốc đã thử nghiệm các cuộc tấn công trên một số ổ cứng SSD để cài cắm phần mềm độc hại.
Tín nhiệm mạng | “Have I Been Pwned” cho phép bạn kiểm tra xem liệu email và mật khẩu của mình có thuộc danh sách 441.000 tài khoản đã bị đánh cắp trong một chiến dịch đánh cắp thông tin bằng phần mềm độc hại RedLine hay không.
Tín nhiệm mạng | Các nhà nghiên cứu tại công ty bảo mật Tenable đã phát hiện 6 lỗ hổng có mức độ cao trong phiên bản firmware mới nhất (1.0.4.120) của bộ định tuyến Netgear Nighthawk R6700v3, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị.
Tín nhiệm mạng | Hơn 1.200 trang web sử dụng phishing toolkits, còn gọi là bộ công cụ lừa đảo MitM, được triển khai trong thực tế cho phép tin tặc vượt qua bảo mật xác thực hai yếu tố