هک رایانه‌های شخصی با نسخه جعلی تلگرام توسط بدافزار Purple Fox

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir fake telegram messenger app hacking pcs with purple fox malware 1
نصب‌کننده‌های تروجانی برنامه پیام‌رسانی تلگرام برای توزیع backdoor با نام Purple Fox مبتنی بر ویندوز در سیستم‌های در معرض خطر استفاده می‌شوند.

بر اساس تحقیقات جدید منتشر شده توسط Minerva Labs، این حمله متفاوت از نفوذ‌هایی توصیف شده است که معمولاً از نرم‌افزار‌های قانونی برای استقرار payload‌های مخرب استفاده می‌کنند.

محقق ناتالی زرگاروف گفت: «این عامل تهدید با جدا کردن حمله به چندین فایل کوچک که اکثر آن‌ها دارای نرخ تشخیص بسیار پایین توسط موتور‌های آنتی ویروس هستند، توانست اکثر قسمت‌های حمله را بدون شناسایی عملی کرده و در مرحله آخر سیستم را به آلودگی روت‌کیت Purple Fox مبتلا کند.

بدافزار Purple Fox که اولین بار در سال ۲۰۱۸ کشف شد، دارای قابلیت روت کیت است که به بدافزار اجازه می‌دهد تا فراتر از دسترس راه حل‌های امنیتی استقرار یافته و از شناسایی مصون بماند. گزارش مارس ۲۰۲۱ از Guardicore ویژگی انتشار کرم‌مانند آن را به تفصیل شرح داد و این امکان را به این backdoor داد که با سرعت بیشتری گسترش یابد.

سپس در اکتبر ۲۰۲۱، محققان Trend Micro یک ایمپلنت دات نت به نام FoxSocket را کشف کردند که در ارتباط با Purple Fox مستقر شده بود و از WebSockets برای تماس با سرور‌های command-and-control (C2) خود به عنوان ابزاری امن‌تر برای برقراری ارتباطات استفاده می‌کرده است.

محققان خاطرنشان کردند: «قابلیت‌های روت‌کیت پورپل فاکس باعث می‌شود تا بتواند اهداف خود را به شیوه‌ای مخفیانه‌تر متحمل حملات کند. آن‌ها به Purple Fox اجازه می‌دهند روی سیستم‌های آسیب‌دیده باقی بماند و همچنین payload‌های بیشتری را در سیستم‌های آسیب‌دیده مستقر نماید».
takian.ir fake telegram messenger app hacking pcs with purple fox malware 2
آخرین مورد اینکه، در دسامبر ۲۰۲۱، Trend Micro همچنین مراحل بعدی زنجیره آلودگی پورپل فاکس را روشن کرد و مشخص شد که این بدافزار پایگاه‌های داده SQL را با قرار دادن یک ماژول مخرب زمان اجرا زبان مشترک SQL (CLR) هدف قرار داده تا به امکان اجرای مداوم و مخفیانه‌تر دست یابد و در نهایت از سرور‌های SQL برای استخراج غیرقانونی ارز‌های دیجیتال سواستفاده کند.

زنجیره حمله جدید مشاهده شده توسط Minerva با یک فایل نصب‌کننده تلگرام شروع می‌شود، یک اسکریپت AutoIt که یک نصب‌کننده قانونی برای برنامه چت و یک دانلود‌کننده مخرب به نام "TextInputh. exe" را حذف می‌کند، که دومی برای بازیابی بدافزار مرحله بعدی که از سرور C2 دریافت شده، اجرا می‌شود.

متعاقباً، فایل‌های دانلود شده، قبل از اینکه به مرحله نهایی برسند که منجر به دانلود و اجرای روت کیت Purple Fox از یک سرور راه دور که اکنون خاموش شده است، فرآیند‌های مرتبط با موتور‌های آنتی‌ویروس مختلف را مسدود می‌کنند.

زرگاروف گفت: «ما تعداد زیادی از نصب‌کننده‌های مخرب را پیدا کردیم که همان نسخه روت کیت Purple Fox را با استفاده از زنجیره حمله مشابه ارائه می‌داده‌اند. به نظر می‌رسد برخی از آن‌ها از طریق‌ ایمیل ارسال شده‌اند، در حالی که برخی دیگر به تصور ما از وب سایت‌های فیشینگ دانلود شده‌اند. زیبایی این حمله این است که هر مرحله با یک فایل متفاوت جدا می‌شود که بدون کل مجموعه فایل بی‌فایده است».

برچسب ها: روباه بنفش, روت‌کیت, پورپل فاکس, WebSockets, FoxSocket, Purple Fox, AutoIt, Crypto, Payload, .NET, command and control, cybersecurity, رمزارز, Rootkit, ویندوز, malware, ایمیل, Telegram, backdoor, بیت کوین, SQL, ارز دیجیتال, Cryptocurrencies, بدافزار, امنیت سایبری, تلگرام, Cyber Attacks, Bitcoin, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ