COM PLUS SECURITY
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
COM PLUS SECURITYStaráme se o bezpečnost Vašich dat
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
Dejte si pozor na falešnou aplikaci Telegram Messenger, která hackuje počítače pomocí malwaru Purple Fox
  • Nezařazené

Falešné instalátory aplikace pro zasílání zpráv Telegram se používají k distribuci zadních vrátek Purple Fox. Vyplývá to z nového výzkumu publikovaného společností Minerva Labs, který popisuje, čím se útok liší od klasického vniknutí.

„Tento aktér hrozby byl schopen ponechat většinu částí útoku nespozorovatelných tím, že útok rozdělil do několika malých souborů, z nichž většina měla velmi nízkou míru detekce [antivirovými] enginy, přičemž poslední fáze vedla k infekci rootkitem Purple Fox, “ řekla výzkumnice Natalie Zargarovová .

Purple Fox, který byl poprvé objeven v roce 2018, přichází s funkcemi rootkitu, které umožňují umístit malware mimo dosah bezpečnostních řešení a vyhnout se detekci. Zpráva společnosti Guardicore z března 2021 podrobně popsala funkci šíření červa, která umožňuje rychlejší šíření zadních vrátek.

V říjnu 2021 pak výzkumníci Trend Micro odhalili implantát .NET nazvaný FoxSocket nasazený ve spojení s Purple Fox, který využívá WebSockets ke kontaktování svých serverů pro příkazy a řízení (C2) pro bezpečnější způsob navazování komunikace.

Nový řetězec útoků pozorovaný Minervou začíná instalačním souborem telegramu, skriptem AutoIt, který vypustí legitimní instalační program pro chatovací aplikaci, a škodlivý stahovací program s názvem „TextInputh.exe“, z nichž druhý je spuštěn za účelem načtení malwaru v další fázi z server C2.

Následně stažené soubory pokračují v blokování procesů spojených s různými antivirovými motory, než postoupí do závěrečné fáze, která vede ke stažení a spuštění rootkitu Purple Fox z nyní vypnutého vzdáleného serveru.

„Našli jsme velké množství škodlivých instalačních programů, které poskytují stejnou verzi rootkitu Purple Fox pomocí stejného řetězce útoků,“ řekl Zargarov. „Zdá se, že některé byly doručeny e-mailem, zatímco jiné předpokládáme, že byly staženy z phishingových webů. Krása tohoto útoku spočívá v tom, že každá fáze je oddělena do jiného souboru, který je bez celé sady souborů k ničemu.“

Comments are closed.

Nejnovější příspěvky
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
admin 4. 1. 2022
No Comment
Microsoft opravuje problémy s chybou Exchange Y2K22, která ochromila službu doručování e-mailů
Hackeři se nabourali do účtů známých hráčů FIFA. Podpora EA Sports selhala.
COM PLUS CZ a.s.

Outsourcing ICT, kybernetická bezpečnost, penetrační testy, analýza rizik, školení kybernetické bezpečnosti, správa IT, dohledové systémy, telekomunikační řešení, helpdesk, vývoj software, servis.

Naše služby
  • Kurzy a školení
  • Bezpečnostní dohled
  • Analýza rizik
  • Penetrační testy
Aktuality
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
Kontaktní údaje

COM PLUS CZ a.s.

Nad Krocínkou 317/48
Praha 9, 190 00

IČ: 25772104
DIČ: CZ25772104

bezpecneict@complus.cz

+420 225 103 222

COM PLUS CZ a.s. 2020
Tyto webové stránky využívají cookies k analýze návštěvnosti. Více informací zde. SOUHLASÍM
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vždy povoleno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
ULOŽIT A PŘIJMOUT