Lợi dụng trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

www.tuoitre.vn -   19/01/2022 12:00:00 787

Các trình cài đặt bị trojanized của ứng dụng nhắn tin Telegram đang được sử dụng để phân phối backdoor Purple Fox trên nền tảng Window vào hệ thống bị xâm phạm. Theo nghiên cứu mới được Minerva Labs công bố, cuộc tấn công này khác với các cuộc xâm nhập thường lợi dụng phần mềm hợp pháp để phát tán các payload độc hại.

Lợi dụng trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

Nhà nghiên cứu Natalie Zargarov cho biết: “Hầu hết các phần của cuộc tấn công đều không bị phát hiện do phân chia cuộc tấn công thành các tệp nhỏ có tỷ lệ bị phần mềm chống vi-rút phát hiện rất thấp và sau cùng dẫn đến lây nhiễm rootkit Purple Fox.”

Được phát hiện lần đầu tiên vào năm 2018, Purple Fox đi kèm với khả năng rootkit cho phép lây lan phần mềm độc hại ngoài tầm kiểm soát của các giải pháp bảo mật và tránh bị phát hiện. Báo cáo tháng 3/2021 của Guardicore đã mô tả chi tiết về tính năng lan truyền của Purple Fox như một con sâu độc hại, cho phép backdoor lây nhiễm nhanh hơn.

Sau đó vào tháng 10/2021, các nhà nghiên cứu bảo mật đã phát hiện ra một implant .NET có tên là FoxSocket được triển khai cùng với Purple Fox lợi dụng WebSockets để liên hệ với các máy chủ điều khiển và kiểm soát (C2) nhằm tạo ra một phương tiện truyền thông tin an toàn hơn.

Lợi dụng trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

Các nhà nghiên cứu cho biết: “Khả năng rootkit của Purple Fox giúp phần mềm độc hại này thực hiện mục tiêu một cách bí mật hơn. Khả năng này cho phép Purple Fox tồn tại trên hệ thống bị tấn công cũng như phân phát thêm payload vào hệ thống đó.

Cuối cùng, vào tháng 12/2021, cũng đã làm sáng tỏ các giai đoạn sau của chuỗi lây nhiễm Purple Fox có liên quan đến việc nhắm mục tiêu cơ sở dữ liệu SQL bằng cách chèn một mô-đun CLR SQL độc hại để thực thi liên tục và khó phát hiện hơn rồi sau cùng là lạm dụng các máy chủ SQL để đào tiền điện tử bất hợp pháp.

Chuỗi tấn công mới được Minerva quan sát bắt đầu bằng tệp trình cài đặt Telegram, một tập lệnh AutoIt thả trình cài đặt hợp pháp cho ứng dụng trò chuyện này và trình tải xuống độc hại có tên “TextInputh.exe”. Ở giai đoạn tiếp theo, trình tải xuống được thực thi để truy xuất phần mềm độc hại từ máy chủ C2.

Sau đó, các tệp đã tải xuống tiến hành chặn các quy trình liên quan đến công cụ chống vi-rút khác nhau, trước khi chuyển sang giai đoạn cuối cùng để tải xuống và thực thi rootkit Purple Fox từ một máy chủ từ xa đang ở trạng thái tắt.

Zargarov cho biết: “Chúng tôi phát hiện thấy một số lượng lớn các trình cài đặt độc hại phân phát cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. Có vẻ như một số trình cài đặt độc hại được gửi qua email, trong khi chúng tôi cho rằng một số khác được tải xuống từ các trang web lừa đảo. Cái hay của cuộc tấn công này là mọi giai đoạn đều được tách thành một tệp khác, tệp này sẽ không dùng được nếu không có toàn bộ số tệp.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 459
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 968
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 868
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 76
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 774
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 91
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ