Les pirates diffusent le rootkit Purple Fox via une fausse application Telegram

  • Français


  • Il est devenu courant pour les cybercriminels de diffuser leurs logiciels malveillants personnalisés via de fausses applications mobiles. Les experts en sécurité de Minerva Labs ont récemment découvert que des acteurs malveillants utilisaient des applications Telegram malveillantes pour distribuer des logiciels malveillants personnalisés baptisés Purple Fox sur des appareils ciblés.

    “Cet acteur de la menace a pu laisser la plupart des parties de l’attaque sous le radar en séparant l’attaque en plusieurs petits fichiers, dont la plupart avaient des taux de détection très faibles par les moteurs AV, la dernière étape menant à l’infection du rootkit Purple Fox”, les chercheurs ont dit.

    Infection du renard pourpre

    Le programme d’installation malveillant de Telegram est un script freeware AutoIt compilé appelé Telegram Desktop.exe, qui crée un nouveau dossier nommé Entrée de texte sous C:UsersUsernameAppDataLocalTemp et dépose un programme d’installation de Telegram légitime et un fichier de téléchargement de logiciels malveillants TextInputh.exe. Le fichier TextInputh.exe agit comme un téléchargeur de charges utiles supplémentaires pour la prochaine étape d’attaque qui installe Purple Fox Rootkit sans être détecté.

    Généralement, les rootkits permettent aux pirates distants d’accéder illégalement au système d’exploitation sur la machine infectée. Les acteurs de la menace pourraient surveiller et voler des informations sensibles en utilisant des rootkits.

    Les informations recueillies par Purple Fox comprennent :

    • Nom d’hôte
    • CPU – en récupérant une valeur de HKLMHARDWAREDESCRIPTIONSystemCentralProcessor ~MHz clé de registre
    • État de la mémoire
    • Type de lecteur
    • Type de processeur

    Lisez aussi : Comment repérer les applications malveillantes ou fausses

    « Nous avons trouvé un grand nombre d’installateurs malveillants livrant la même version du rootkit Purple Fox en utilisant la même chaîne d’attaque. Il semble que certains aient été envoyés par e-mail, tandis que d’autres, nous le supposons, ont été téléchargés à partir de sites Web de phishing. La beauté de cette attaque est que chaque étape est séparée dans un fichier différent qui est inutile sans l’ensemble des fichiers. Cela aide l’attaquant à protéger ses fichiers de la détection AV », ont ajouté les chercheurs.

    De nouvelles variantes de logiciels malveillants à la hausse

    Malgré plusieurs mesures de sécurité, les acteurs malveillants ont réussi à diffuser diverses variantes de logiciels malveillants. Une analyse récente a découvert un malware de vol d’informations baptisé Redline ciblant les navigateurs Web comme Opera, Chrome et Edge pour récolter les identifiants de connexion. Selon un rapport d’AhnLab ASEC, la campagne de malware Redline cible les utilisateurs qui activent la fonction de connexion automatique sur leurs navigateurs. Actif depuis 2020, lorsque Redline Stealer est apparu pour la première fois sur le forum darknet russe, le malware se vend entre 150 et 200 dollars, ce qui permet aux mauvais acteurs de l’exploiter. Lire la suite ici…

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *