Các trình cài đặt Trojanized của ứng dụng nhắn tin Telegram đang được sử dụng để phân phối cửa sau Purple Fox dựa trên Windows trên các hệ thống bị xâm phạm.
Theo nghiên cứu mới được công bố bởi Minerva Labs, mô tả cuộc tấn công khác với các cuộc xâm nhập thường lợi dụng phần mềm hợp pháp để thả các tải trọng độc hại.
“Kẻ gây ra mối đe dọa này có thể để lại hầu hết các phần của cuộc tấn công dưới radar bằng cách tách cuộc tấn công thành một số tệp nhỏ, hầu hết trong số đó có tỷ lệ phát hiện rất thấp bởi các công cụ chống virus, với giai đoạn cuối dẫn đến lây nhiễm rootkit Purple Fox,” nhà nghiên cứu Natalie Zargarov cho biết.
Lần đầu tiên được phát hiện vào năm 2018, Purple Fox đi kèm với các khả năng rootkit cho phép lây lan phần mềm độc hại ngoài tầm với của các giải pháp bảo mật và tránh bị phát hiện. Một báo cáo tháng 3 năm 2021 từ Guardicore đã nêu chi tiết về tính năng lan truyền giống như sâu của nó, cho phép backdoor lây lan nhanh hơn.
Sau đó vào tháng 10 năm 2021, các nhà nghiên cứu của Trend Micro đã phát hiện ra một bộ .NET có tên là FoxSocket được triển khai cùng với Purple Fox, lợi dụng của WebSockets để liên hệ với các máy chủ điều khiển và kiểm soát (C2) của nó nhằm tạo ra một phương tiện thiết lập liên lạc an toàn hơn.
Các nhà nghiên cứu lưu ý: “Khả năng rootkit của Purple Fox giúp nó có nhiều khả năng thực hiện các mục tiêu của mình theo cách lén lút hơn. Chúng cho phép Purple Fox tồn tại trên các hệ thống bị ảnh hưởng cũng như cung cấp thêm tải trọng cho các hệ thống bị ảnh hưởng.”
Tháng 12 năm 2021, Trend Micro cũng làm sáng tỏ các giai đoạn sau của chuỗi lây nhiễm Purple Fox, nhắm mục tiêu cơ sở dữ liệu SQL bằng cách chèn mô-đun thời gian chạy ngôn ngữ chung SQL ( CLR ) độc hại để đạt được hiệu suất bền bỉ và lén lút hơn và cuối cùng là lạm dụng máy chủ SQL để khai thác tiền điện tử bất hợp pháp.
Chuỗi tấn công mới được Minerva quan sát bắt đầu bằng tệp trình cài đặt Telegram, một tập lệnh AutoIt làm rơi trình cài đặt hợp pháp cho ứng dụng trò chuyện và trình tải xuống độc hại có tên “TextInputh.exe”, trình cài đặt thứ hai được thực thi để truy xuất phần mềm độc hại ở giai đoạn tiếp theo từ máy chủ C2.
Sau đó, các tệp đã tải xuống tiến hành chặn các quy trình được liên kết với các công cụ chống vi-rút khác nhau, trước khi chuyển sang giai đoạn cuối cùng dẫn đến việc tải xuống và thực thi rootkit Purple Fox từ một máy chủ từ xa hiện đã tắt.
Zargarov cho biết: “Chúng tôi phát hiện thấy một số lượng lớn các trình cài đặt độc hại cung cấp cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. Có vẻ như một số được gửi qua email, trong khi một số khác mà chúng tôi cho rằng được tải xuống từ các trang web lừa đảo. Cái hay của cuộc tấn công này là mọi giai đoạn đều được tách thành một tệp khác, vô dụng nếu không có toàn bộ tệp.”
Fanpage: Trí Việt JSC (Theo thehackernews)