Falešné instalátory aplikace pro zasílání zpráv Telegram se používají k distribuci zadních vrátek Purple Fox. Vyplývá to z nového výzkumu publikovaného společností Minerva Labs, který popisuje, čím se útok liší od klasického vniknutí.

„Tento aktér hrozby byl schopen ponechat většinu částí útoku nespozorovatelných tím, že útok rozdělil do několika malých souborů, z nichž většina měla velmi nízkou míru detekce [antivirovými] enginy, přičemž poslední fáze vedla k infekci rootkitem Purple Fox, “ řekla výzkumnice Natalie Zargarovová .

Purple Fox, který byl poprvé objeven v roce 2018, přichází s funkcemi rootkitu, které umožňují umístit malware mimo dosah bezpečnostních řešení a vyhnout se detekci. Zpráva společnosti Guardicore z března 2021 podrobně popsala funkci šíření červa, která umožňuje rychlejší šíření zadních vrátek.

V říjnu 2021 pak výzkumníci Trend Micro odhalili implantát .NET nazvaný FoxSocket nasazený ve spojení s Purple Fox, který využívá WebSockets ke kontaktování svých serverů pro příkazy a řízení (C2) pro bezpečnější způsob navazování komunikace.

Nový řetězec útoků pozorovaný Minervou začíná instalačním souborem telegramu, skriptem AutoIt, který vypustí legitimní instalační program pro chatovací aplikaci, a škodlivý stahovací program s názvem „TextInputh.exe“, z nichž druhý je spuštěn za účelem načtení malwaru v další fázi z server C2.

Následně stažené soubory pokračují v blokování procesů spojených s různými antivirovými motory, než postoupí do závěrečné fáze, která vede ke stažení a spuštění rootkitu Purple Fox z nyní vypnutého vzdáleného serveru.

„Našli jsme velké množství škodlivých instalačních programů, které poskytují stejnou verzi rootkitu Purple Fox pomocí stejného řetězce útoků,“ řekl Zargarov. „Zdá se, že některé byly doručeny e-mailem, zatímco jiné předpokládáme, že byly staženy z phishingových webů. Krása tohoto útoku spočívá v tom, že každá fáze je oddělena do jiného souboru, který je bez celé sady souborů k ničemu.“