Aplicativos falsos do Telegram Messenger hackeando dispositivos com malware letal

De acordo com um relatório do Minerva Labs, fundado em 2014 por ex-oficiais das Forças de Defesa de Israel que serviram nas forças cibernéticas de elite, falsos instaladores do aplicativo de mensagens Telegram estão sendo usados ​​para distribuir o software baseado em Windows ‘Raposa roxa‘backdoor em sistemas comprometidos.

“A beleza desse ataque é que cada estágio é separado em um arquivo diferente que é inútil sem todo o conjunto de arquivos. Isso ajuda o invasor a proteger seus arquivos da detecção de AV (antivírus)”, informou o pesquisador.

Durante a investigação, eles descobriram que o agente da ameaça foi capaz de deixar a maior parte do ataque sob o radar, separando o ataque em vários arquivos pequenos, muitos dos quais tinham taxas de detecção muito baixas por mecanismos (antivírus) “, com o estágio final levando à infecção do rootkit Purple Fox “.

Descoberto pela primeira vez em 2018, o ‘Purple Fox’ vem com recursos de rootkit que permitem que o malware seja plantado fora do alcance das soluções antivírus, relata thehackernews.com.

Em outubro de 2021, os pesquisadores da Trend Micro descobriram um implante .NET denominado FoxSocket, implantado em conjunto com o Purple Fox.

“As capacidades de rootkit do Purple Fox o tornam mais capaz de realizar seus objetivos de uma maneira mais furtiva”, observaram os pesquisadores.

“Eles permitem que o Purple Fox persista nos sistemas afetados e também forneça cargas úteis aos sistemas afetados.”

Zargarov disse que muitas vezes observaram atores de ameaças usando software legítimo para liberar arquivos maliciosos.

“Desta vez, no entanto, é diferente. Este ator de ameaça foi capaz de deixar a maior parte do ataque sob o radar, separando o ataque em vários arquivos pequenos, a maioria dos quais tinha taxas de detecção muito baixas por motores AV, com o estágio final liderando à infecção de rootkit Purple Fox, observou o pesquisador.

o FacebookTwitterLinkedin