Lợi dụng trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

Các trình cài đặt bị trojanized của ứng dụng nhắn tin Telegram đang được sử dụng để phân phối backdoor Purple Fox trên nền tảng Window vào hệ thống bị xâm phạm. Theo nghiên cứu mới được Minerva Labs công bố, cuộc tấn công này khác với các cuộc xâm nhập thường lợi dụng phần mềm hợp pháp để phát tán các payload độc hại.

Nhà nghiên cứu Natalie Zargarov cho biết: “Hầu hết các phần của cuộc tấn công đều không bị phát hiện do phân chia cuộc tấn công thành các tệp nhỏ có tỷ lệ bị phần mềm chống vi-rút phát hiện rất thấp và sau cùng dẫn đến lây nhiễm rootkit Purple Fox.”

Được phát hiện lần đầu tiên vào năm 2018, Purple Fox đi kèm với khả năng rootkit cho phép lây lan phần mềm độc hại ngoài tầm kiểm soát của các giải pháp bảo mật và tránh bị phát hiện. Báo cáo tháng 3/2021 của Guardicore đã mô tả chi tiết về tính năng lan truyền của Purple Fox như một con sâu độc hại, cho phép backdoor lây nhiễm nhanh hơn.

Sau đó vào tháng 10/2021, các nhà nghiên cứu bảo mật đã phát hiện ra một implant .NET có tên là FoxSocket được triển khai cùng với Purple Fox lợi dụng WebSockets để liên hệ với các máy chủ điều khiển và kiểm soát (C2) nhằm tạo ra một phương tiện truyền thông tin an toàn hơn.

Các nhà nghiên cứu cho biết: “Khả năng rootkit của Purple Fox giúp phần mềm độc hại này thực hiện mục tiêu một cách bí mật hơn. Khả năng này cho phép Purple Fox tồn tại trên hệ thống bị tấn công cũng như phân phát thêm payload vào hệ thống đó.

Cuối cùng, vào tháng 12/2021, cũng đã làm sáng tỏ các giai đoạn sau của chuỗi lây nhiễm Purple Fox có liên quan đến việc nhắm mục tiêu cơ sở dữ liệu SQL bằng cách chèn một mô-đun CLR SQL độc hại để thực thi liên tục và khó phát hiện hơn rồi sau cùng là lạm dụng các máy chủ SQL để đào tiền điện tử bất hợp pháp.

Chuỗi tấn công mới được Minerva quan sát bắt đầu bằng tệp trình cài đặt Telegram, một tập lệnh AutoIt thả trình cài đặt hợp pháp cho ứng dụng trò chuyện này và trình tải xuống độc hại có tên “TextInputh.exe”. Ở giai đoạn tiếp theo, trình tải xuống được thực thi để truy xuất phần mềm độc hại từ máy chủ C2.

Sau đó, các tệp đã tải xuống tiến hành chặn các quy trình liên quan đến công cụ chống vi-rút khác nhau, trước khi chuyển sang giai đoạn cuối cùng để tải xuống và thực thi rootkit Purple Fox từ một máy chủ từ xa đang ở trạng thái tắt.

Zargarov cho biết: “Chúng tôi phát hiện thấy một số lượng lớn các trình cài đặt độc hại phân phát cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. Có vẻ như một số trình cài đặt độc hại được gửi qua email, trong khi chúng tôi cho rằng một số khác được tải xuống từ các trang web lừa đảo. Cái hay của cuộc tấn công này là mọi giai đoạn đều được tách thành một tệp khác, tệp này sẽ không dùng được nếu không có toàn bộ số tệp.”

Theo The Hacker News