بدافزار Purple Fox در قالب تلگرام جعلی جولان میدهد


به این مطلب امتیاز دهید

بدافزار Purple Fox با آلوده کردن فایل نصب کننده تلگرام اقدام به پخش خود روی سیستم های مبتنی بر ویندوز کرد .

بر اساس تحقیقات جدید منتشر شده از Minerva Labs این حمله متفاوت تر از حملاتی است که معمولا از نرم افزارهای قانونی برای آلوده کردن سیستم استفاده می کنند.

محقق امنیتی ناتالی زرگاروف گفت:
“این بدافزار با بخش بندی کردن حمله به چندین فایل کوچک که اکثریت آنها دارای نرخ تشخیص بسیار پایین توسط موتورهای آنتی ویروس هستند، قادر است اکثر بخش های حمله را بدون شناسایی شدن به اتمام برساند، و در مرحله آخر سیستم را آلوده به بدافزار Purple Fox بکند.

Purple Fox که اولین بار در سال 2018 کشف شد، بخشی از آن شامل عملکرد روت کیتی است که به بدافزار اجازه می دهد تا فراتر از حیطه دسترسی راه کارهای های امنیتی قرار گیرد و از شناسایی فرار کند.

در مارس 2021, گزارشی تهیه شده توسط Guardicore منتشر شد، در این گزارش گفته شد که بد افزار با استفاده ازین قابلیت می تواند با سرعت قابل توجهی سیستم هارو آلود کند.

 

سپس در اکتبر 2021، محققان Trend Micro یک Implement دات نت به نام FoxSocket را کشف کردند که همراه با Purple Fox روی سیستم آلوده نصب شده بود.

محققان خاطرنشان کردند: «قابلیت‌های Purple Fox باعث می‌ شود تا بتواند اهداف خود را به روش های مخفیانه‌ تری انجام دهد». این قابلیت ها به Purple Fox اجازه می‌ دهند روی سیستم‌ های آلوده شده باقی بماند و همچنین Payload های مخرب بیشتری را به سیستم‌ های آلوده شده برای اجرا انتقال دهد.

بدافزار Purple Fox

در دسامبر 2021، Trend Micro مراحل بعدی زنجیره حمله Purple Fox را افشا کرد .

این زنجیره حمله با قصد هدف قرار دادن پایگاه‌های داده SQL, اقدام به جایگذاری کردن یک ماژول SQL CLR برای Persistence میکند .

و در نهایت بعد از آلوده سازی , سرور های SQL آلوده شده را برای استخراج غیر قانونی رمز ارز مورد استفاده قرار میدهد .

زنجیره حمله جدید مشاهده شده توسط Minerva با یک فایل نصب کننده تلگرام شروع می شود.
یک اسکریپت AutoIt که شامل یک نصب کننده قانونی برای برنامه تلگرام و یک دانلود کننده مخرب به نام “TextInputh.exe” است.
وظیفه دانلود کننده مخرب این است که بخش های باقی مانده بدافزار را از سمت سرور های C2 دریافت و آن را اجرا کند.

متعاقباً، فایل‌های دانلود شده، قبل از اینکه به مرحله نهایی برسند اقدام به مسدود سازی فرآیندهای مرتبط با موتورهای آنتی‌ ویروس مختلف می‌ کنند، و بعد از آن اقدام به اجرای مرحله آخر بد افزار که شامل دانلود و اجرای روت کیت Purple Fox از یک سرور C2 که در حال حاضر خاموش است میشود.

زرگاروف گفت: «ما تعداد زیادی از نصب‌ کننده‌ های مخرب با زنجیره حمله مشابه را پیدا کردیم که همان نسخه روت کیت Purple Fox را دارا هستند. به نظر می رسد برخی از آنها از طریق ایمیل آلوده شده اند، و برخی دیگر از وب سایت های فیشینگ دانلود شده اند. زیبایی این حمله به این است که هر مرحله به یک فایل متفاوت ربط دارد و بدون حضور کل مجموعه فایل ها این حمله بی فایده است.”

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.