Aplicațiile false Telegram Messenger sunt folosite pentru a pirata dispozitive cu programe malware
Potrivit cercetătorilor în domeniul securității cibernetice, aplicațiile false Telegram Messenger pirata în prezent dispozitive, inclusiv PC-uri, cu un malware bazat pe Windows care vă poate pune informațiile în pericol, deoarece eludează sistemele antivirus instalate.
Potrivit unui raport al Minerva Labs, care a fost fondat în 2014 de foști ofițeri ai Forțelor de Apărare israeliene care au servit în forțele cibernetice de elită, instalatorii falși de aplicații de mesagerie Telegram sunt utilizați pentru a distribui ușa din spate „Purple Fox” bazată pe Windows pe sistemele compromise.
„Am găsit un număr mare de instalatori rău intenționați care oferă aceeași versiune de rootkit „Purple Fox” folosind același lanț de atac. Se pare că unele au fost livrate prin e-mail, în timp ce altele presupunem că au fost descărcate de pe site-uri web de phishing”, a spus cercetătorul Natalie Zargarov.
„Frumusețea acestui atac este că fiecare etapă este separată într-un fișier diferit, care este inutil fără întregul set de fișiere. Acest lucru îl ajută pe atacator să-și protejeze fișierele de detectarea AV (anti-virus), a informat cercetătorul.
În timpul investigației, ei au descoperit că actorul amenințării a reușit să evite detectarea prin împărțirea atacului în mai multe fișiere mici, dintre care majoritatea aveau rate de detecție foarte scăzute de către motoarele (antivirus), „etapa finală ducând la infectarea rootkit-ului Purple Fox. .”
„Purple Fox”, descoperit în 2018, are capabilități rootkit care permit ca malware-ul să fie plantat dincolo de soluțiile antivirus, potrivit thehackernews.com.
Cercetătorii Trend Micro au descoperit un implant.NET numit FoxSocket, care a fost folosit împreună cu Purple Fox în octombrie 2021.
„Capacitățile rootkit-ului lui Purple Fox îl fac mai capabil să își îndeplinească obiectivele într-un mod mai ascuns”, au observat cercetătorii.
„Aceștia permit lui Purple Fox să persistă pe sistemele afectate, precum și să livreze încărcături utile suplimentare sistemelor afectate.”
Zargarov a declarat că actorii amenințărilor au fost observați frecvent folosind software-ul legitim pentru a arunca fișiere rău intenționate.
„De data aceasta, însă, este diferită. Acest actor de amenințare a reușit să părăsească cele mai multe părți ale atacului sub radar, prin separarea atacului în mai multe fișiere mici, dintre care majoritatea aveau rate de detecție foarte scăzute de către motoarele AV, etapa finală ducând la infectarea rootkit-ului Purple Fox, a remarcat cercetătorul. .