Phát hiện trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox - Bảo mật

Phát hiện trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox

Các trình cài đặt bị trojanized của ứng dụng nhắn tin Telegram đang được sử dụng để phân phối backdoor Purple Fox trên nền tảng Window vào hệ thống bị xâm phạm.

Theo nghiên cứu mới được Minerva Labs công bố, cuộc tấn công này khác với các cuộc xâm nhập thường lợi dụng phần mềm hợp pháp để phát tán các payload độc hại.

Nhà nghiên cứu Natalie Zargarov cho biết: “Hầu hết các phần của cuộc tấn công đều không bị phát hiện do phân chia cuộc tấn công thành các tệp nhỏ có tỷ lệ bị phần mềm [chống vi-rút] phát hiện rất thấp và sau cùng dẫn đến lây nhiễm rootkit Purple Fox.”

Được phát hiện lần đầu tiên vào năm 2018, Purple Fox đi kèm với khả năng rootkit cho phép lây lan phần mềm độc hại ngoài tầm kiểm soát của các giải pháp bảo mật và tránh bị phát hiện. Báo cáo tháng 3/2021 của Guardicore đã mô tả chi tiết về tính năng lan truyền của Purple Fox như một con sâu độc hại, cho phép backdoor lây nhiễm nhanh hơn.

Sau đó vào tháng 10/2021, các nhà nghiên cứu của Trend Micro đã phát hiện ra một implant .NET có tên là FoxSocket được triển khai cùng với Purple Fox lợi dụng WebSockets để liên hệ với các máy chủ điều khiển và kiểm soát (C2) nhằm tạo ra một phương tiện truyền thông tin an toàn hơn.

Các nhà nghiên cứu cho biết: “Khả năng rootkit của Purple Fox giúp phần mềm độc hại này thực hiện mục tiêu một cách bí mật hơn. Khả năng này cho phép Purple Fox tồn tại trên hệ thống bị tấn công cũng như phân phát thêm payload vào hệ thống đó.

Cuối cùng, vào tháng 12/2021, Trend Micro cũng đã làm sáng tỏ các giai đoạn sau của chuỗi lây nhiễm Purple Fox có liên quan đến việc nhắm mục tiêu cơ sở dữ liệu SQL bằng cách chèn một mô-đun CLR SQL độc hại để thực thi liên tục và khó phát hiện hơn rồi sau cùng là lạm dụng các máy chủ SQL để đào tiền điện tử bất hợp pháp.

Chuỗi tấn công mới được Minerva quan sát bắt đầu bằng tệp trình cài đặt Telegram, một tập lệnh AutoIt thả trình cài đặt hợp pháp cho ứng dụng trò chuyện này và trình tải xuống độc hại có tên “TextInputh.exe”. Ở giai đoạn tiếp theo, trình tải xuống được thực thi để truy xuất phần mềm độc hại từ máy chủ C2.

Sau đó, các tệp đã tải xuống tiến hành chặn các quy trình liên quan đến công cụ chống vi-rút khác nhau, trước khi chuyển sang giai đoạn cuối cùng để tải xuống và thực thi rootkit Purple Fox từ một máy chủ từ xa đang ở trạng thái tắt.

Zargarov cho biết: “Chúng tôi phát hiện thấy một số lượng lớn các trình cài đặt độc hại phân phát cùng một phiên bản rootkit Purple Fox bằng cách sử dụng cùng một chuỗi tấn công. Có vẻ như một số trình cài đặt độc hại được gửi qua email, trong khi chúng tôi cho rằng một số khác được tải xuống từ các trang web lừa đảo. Cái hay của cuộc tấn công này là mọi giai đoạn đều được tách thành một tệp khác, tệp này sẽ không dùng được nếu không có toàn bộ số tệp.”

Theo The Hacker News

The post Phát hiện trình cài đặt Telegram độc hại phát tán phần mềm Purple Fox appeared first on SecurityDaily.



from SecurityDaily https://ift.tt/3qBLMZA

Comments

Post a Comment

Popular posts from this blog

Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận?

Image
 Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận? Công kích cá nhân (ad hominem) là một dạng nguỵ biện phổ biến trong tranh luận đặc biệt là trong những cuộc tranh luận giữa người Việt với nhau ngoài đời lẫn trên mạng xã hội. Đối với những người tôn trọng lý lẽ khi tranh luận, công kích cá nhân là loại nguỵ biện bị khinh rẻ nhất vì nó hoàn toàn không dựa trên lý lẽ, biến vấn đề cần tranh luận thành mâu thuẫn cá nhân và gây tổn thương sâu sắc cho đối phương. Công kích cá nhân khi tranh luận cũng giống như sử dụng những chiêu cấm kị trong võ thuật như móc mắt, đá vào hạ bộ hoặc sử dụng ám khí trong khi đấu võ vậy vì nó gây sát thương một cách không quan minh chính đại. Công kích cá nhân chia ra làm nhiều loại: - Chế giễu (humiliate): dựa vào nhược điểm về ngoại hình, nghề nghiệp, gia cảnh hoặc xuất thân của người kia gây tổn thương tâm lý. - Chụp mũ, vu khống (slander): dựa vào một sơ hở trong lúc tranh luận của đối phương mà gánh ghép cho họ m
Read more

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

Image
Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu Lần đầu tiên một chiến dịch kiếm tiền nhắm vào các thiết bị Android và phát tán phần mềm độc hại trên điện thoại thông qua kỹ thuật tấn công giả mạo bằng SMS kể từ năm 2018 phát tán phần mềm độc hại với mục tiêu tấn công là các nạn nhân ở Pháp và Đức . Với tên gọi Roaming Mantis , loạt hoạt động mới nhất của malware này được quan sát vào năm 2021 liên quan đến việc gửi các văn bản giả mạo về vận chuyển có chứa địa chỉ URL dẫn đến một trang đích. Tại đây, người dùng Android bị lây nhiễm banking trojan gọi là Wroba trong khi đó người dùng iPhone bị chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple. Dựa trên dữ liệu từ xa do Kaspersky thu thập vào tháng 7/2021 và tháng 2/2022, các quốc gia bị ảnh hưởng nhiều nhất là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc. Cũng được theo dõi dưới tên MoqHao và XLoader (đừng nhầm với phần mềm độc hại cùng tên chuyên đánh cắp thông tin nhắm mục tiê
Read more

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Image
iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS
Read more