Lợi dụng trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

www.tuoitre.vn -   19/01/2022 12:00:00 920

Các trình cài đặt bị trojanized của ứng dụng nhắn tin Telegram đang được sử dụng để phân phối backdoor Purple Fox trên nền tảng Window vào hệ thống bị xâm phạm. Theo nghiên cứu mới được Minerva Labs công bố, cuộc tấn công này khác với các cuộc xâm nhập thường lợi dụng phần mềm hợp pháp để phát tán các payload độc hại.

Lợi dụng trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

Nhà nghiên cứu Natalie Zargarov cho biết: “Hầu hết các phần của cuộc tấn công đều không bị phát hiện do phân chia cuộc tấn công thành các tệp nhỏ có tỷ lệ bị phần mềm chống vi-rút phát hiện rất thấp và sau cùng dẫn đến lây nhiễm rootkit Purple Fox.”

Được phát hiện lần đầu tiên vào năm 2018, Purple Fox đi kèm với khả năng rootkit cho phép lây lan phần mềm độc hại ngoài tầm kiểm soát của các giải pháp bảo mật và tránh bị phát hiện. Báo cáo tháng 3/2021 của Guardicore đã mô tả chi tiết về tính năng lan truyền của Purple Fox như một con sâu độc hại, cho phép backdoor lây nhiễm nhanh hơn.

Sau đó vào tháng 10/2021, các nhà nghiên cứu bảo mật đã phát hiện ra một implant .NET có tên là FoxSocket được triển khai cùng với Purple Fox lợi dụng WebSockets để liên hệ với các máy chủ điều khiển và kiểm soát (C2) nhằm tạo ra một phương tiện truyền thông tin an toàn hơn.

Lợi dụng trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

Các nhà nghiên cứu cho biết: “Khả năng rootkit của Purple Fox giúp phần mềm độc hại này thực hiện mục tiêu một cách bí mật hơn. Khả năng này cho phép Purple Fox tồn tại trên hệ thống bị tấn công cũng như phân phát thêm payload vào hệ thống đó.

Cuối cùng, vào tháng 12/2021, cũng đã làm sáng tỏ các giai đoạn sau của chuỗi lây nhiễm Purple Fox có liên quan đến việc nhắm mục tiêu cơ sở dữ liệu SQL bằng cách chèn một mô-đun CLR SQL độc hại để thực thi liên tục và khó phát hiện hơn rồi sau cùng là lạm dụng các máy chủ SQL để đào tiền điện tử bất hợp pháp.

Chuỗi tấn công mới được Minerva quan sát bắt đầu bằng tệp trình cài đặt Telegram, một tập lệnh AutoIt thả trình cài đặt hợp pháp cho ứng dụng trò chuyện này và trình tải xuống độc hại có tên “TextInputh.exe”. Ở giai đoạn tiếp theo, trình tải xuống được thực thi để truy xuất phần mềm độc hại từ máy chủ C2.

Sau đó, các tệp đã tải xuống tiến hành chặn các quy trình liên quan đến công cụ chống vi-rút khác nhau, trước khi chuyển sang giai đoạn cuối cùng để tải xuống và thực thi rootkit Purple Fox từ một máy chủ từ xa đang ở trạng thái tắt.

Zargarov cho biết: “Chúng tôi phát hiện thấy một số lượng lớn các trình cài đặt độc hại phân phát cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. Có vẻ như một số trình cài đặt độc hại được gửi qua email, trong khi chúng tôi cho rằng một số khác được tải xuống từ các trang web lừa đảo. Cái hay của cuộc tấn công này là mọi giai đoạn đều được tách thành một tệp khác, tệp này sẽ không dùng được nếu không có toàn bộ số tệp.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 134
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 116
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 380
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 43
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 36
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 216
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button