🔥 Công Ty Cổ Phần Giải Pháp Đồng Phục Sài Gòn đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện Phụ sản - Nhi Đà Nẵng đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH GIATHUECANHO.COM đã đăng ký tín nhiệm. 🔥                    🔥 Hộ kinh doanh giày dép KimyShoes đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân phường Nại Hiên Đông đã đăng ký tín nhiệm. 🔥                   

Backdoor Purple Fox được phát tán thông qua ứng dụng nhắn tin Telegram

06/01/2022

Các phần mềm độc hại giả mạo ứng dụng nhắn tin Telegram đang được sử dụng để phát tán backdoor Purple Fox lên các hệ thống Windows.

Theo nghiên cứu của Minerva Labs, chiến dịch này khác với các cuộc xâm nhập khác lợi dụng phần mềm hợp pháp để phát tán mã độc: mỗi giai đoạn của chuỗi lây nhiễm sẽ được tách riêng thành một tệp và cần đẩy đủ tất cả các tệp để kích hoạt tấn công.

"Tin tặc đã phân tách mã độc thành các tệp nhỏ, được triển khai theo nhiều giai đoạn để tránh sự phát hiện của các công cụ chống vi-rút và lây nhiễm rootkit Purple Fox”.

Rootkit Purple Fox được phát hiện lần đầu vào năm 2018, có khả năng lây nhiễm, cài cắm các phần mềm độc hại khác và tránh được sự phát hiện của các hệ thống bảo vệ.

Vào tháng 10 năm 2021, các nhà nghiên cứu của Trend Micro đã phát hiện ra một backdoor khác có tên là FoxSocket được triển khai cùng với Purple Fox, đã lợi dụng WebSockets để kết nối với các máy chủ C2 (command-and-control) của kẻ tấn công được dùng để lưu trữ các phần mềm độc hại.

Tháng 12 năm 2021, Trend Micro đã đưa ra phân tích chi tiết cho các giai đoạn của chuỗi lây nhiễm Purple Fox, cho biết mã độc nhắm mục tiêu vào các máy chủ SQL để khai thác tiền điện tử bất hợp pháp.

Minerva phát hiện chuỗi tấn công mới bắt đầu bằng tệp cài đặt Telegram, một tập lệnh bao gồm chương trình cài đặt hợp pháp của ứng dụng trò chuyện kèm theo một tệp độc hại có tên "TextInputh.exe". Tệp cài đặt thứ hai được thực thi sẽ tải về phần mềm độc hại ở giai đoạn tiếp theo từ máy chủ C2 (hiện đã ngừng hoạt động).

Các tệp đã tải xuống sẽ chặn các tiến trình liên kết với các công cụ antivirus, nhằm mục đích che dấu, ngăn sự phát hiện của các công cụ bảo vệ, trước khi chuyển sang giai đoạn cuối để hoàn thành việc tải xuống và thực thi rootkit Purple Fox.

Zargarov cho biết “đã phát hiện thấy một số lượng lớn các chương trình cài đặt độc hại cung cấp cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. "Một số được gửi qua email, một số khác có thể được tải xuống từ các trang web lừa đảo."

Cẩn thận với bất kỳ ứng dụng nào bạn tải xuống từ các liên kết lạ vì chúng có nguy cơ ẩn chứa mã độc.

Nguồn: thehackernews.com.

scrolltop