Il a été découvert que le programme d’installation malveillant de Telegram lançait le logiciel malveillant Purple Fox, exécuté en plusieurs étapes et, par conséquent, très difficile à détecter.
Selon le Laboratoires Minerve équipe de recherche, le programme d’installation de Telegram avec cheval de Troie diffère des cybermenaces habituelles principalement par sa capacité à diviser sa charge utile en plusieurs parties pour échapper aux scanners antivirus. En outre, il se disperse pour propager davantage les charges utiles malveillantes sur les appareils infectés, restant une fois de plus sous le radar.
La chaîne d’attaque actuelle
La chaîne d’attaque la plus récente commence par un fichier de script AutoIt (un langage de script gratuit conçu pour automatiser l’interface graphique Windows et les scripts généraux) appelé Télégramme Desktop.exe, dans la plupart des cas livrés par e-mail ou à partir de sites Web de pêche. Le script AutoIt crée alors un nouveau dossier appelé TextInput en dessous de C:UtilisateursNom d’utilisateurAppDataLocalTemp et télécharge un véritable programme d’installation de Telegram (non exécuté) et un téléchargeur malveillant – TextInputh.exe.
TextInputh.exe est ensuite exécuté et récupère le programme malveillant de prochaine étape à partir d’un serveur de commande et de contrôle (C2). À partir de là, le flux d’attaques se poursuit alors que les fichiers créent des bloqueurs pour différents moteurs antivirus, avant d’atteindre l’étape finale résultant du téléchargement et de l’exécution du rootkit Purple Fox. En attendant, le serveur distant responsable de l’exécution de Purple Fox est arrêté.
Dès que Purple Fox est exécuté, l’appareil infecté redémarre et permet aux paramètres nouvellement installés de prendre le relais, en désactivant le contrôle de compte d’utilisateur (UAC) et en accordant des privilèges d’administrateur de logiciels malveillants. Ensuite, Purple Fox est libre d’effectuer des opérations malveillantes telles que la recherche et l’exfiltration de fichiers, la suppression de données, le téléchargement et l’exécution de code, la destruction de processus, etc.
La beauté de cette attaque est que chaque étape est séparée dans un fichier différent qui est inutile sans l’ensemble du fichier.
Selon le chercheur de Minerva Labs, Zargarov, un grand nombre d’installateurs malveillants livrent le même rootkit Purple Fox en utilisant le même flux d’infection. Ce qui rend ce rootkit encore plus difficile à détecter, c’est que chaque étape est séparée en différents fichiers, qui sont tous complètement inutiles individuellement, sans l’ensemble des fichiers.
En savoir plus sur le renard violet
Purple Fox a d’abord été découvert et décrit en 2018 comme une campagne active de logiciels malveillants de Troie attaquant les appareils Windows. Cette année-là, le malware a infecté plus de 30 000 machines Windows et était hors de portée des mécanismes de détection et des solutions de sécurité contemporains. Initialement, les opérations de Purple Fox se sont propagées via des kits d’exploit et des e-mails de phishing, mais, peu de temps après, elles ont évolué vers des violations via un forçage non sécurisé. Mots de passe PME.
En mars 2021, Purple Fox a déjà montré des caractéristiques avancées de propagation de type ver, permettant une progression beaucoup plus rapide du malware. En octobre de la même année, Trend Micro a détecté de nouvelles activités suspectes concernant Purple Fox – une nouvelle porte dérobée écrite sous la forme d’un implant .NET qui utilise WebSockets pour aider à établir des moyens de communication plus sûrs. Les nouvelles capacités de rootkit de Purple Fox lui ont permis « de persister sur les systèmes concernés et de fournir d’autres charges utiles aux systèmes concernés ». comme indiqué par les chercheurs de Trend Micro.
La dernière mise à jour a eu lieu en décembre 2021, lorsque Purple Fox a commencé à cibler les bases de données SQL en insérant un code malveillant SQL module d’exécution de langage commun (CLR) pour exécuter des attaques encore plus sournoises et plus implacables et, finalement, l’extraction illicite de crypto-monnaie via l’abus de serveurs SQL.
Rappel à nos lecteurs
Le rootkit Purple Fox est un malware intrusif extrêmement difficile à détecter et, en tant que tel, est un sujet brûlant dans le monde de la cybersécurité. Mais sa pleine portée, malheureusement, reste encore à voir. Une chose est sûre, cependant; c’est un logiciel malveillant extrêmement dangereux avec des mécanismes soigneusement développés pour créer des dommages majeurs à votre vie privée.
C’est pourquoi nous voudrions rappeler à nos lecteurs de ne pas ouvrir d’e-mails ou de fichiers suspects et surtout de ne pas télécharger de logiciels provenant de sources inconnues. Gardez votre protection de sécurité active à tout moment, et si votre antivirus suggère quelque chose comme « découvrir le risque de cheval de Troie », nettoyez votre PC immédiatement.
