Waspadalah terhadap PC Hacking Aplikasi Telegram Messenger Palsu dengan Purple Fox Malware

  • Whatsapp
Telegram Messenger App
Waspadalah terhadap PC Hacking Aplikasi Telegram Messenger Palsu dengan Purple

News.nextcloud.asia –

Aplikasi Telegram Messenger

Pemasang Trojan dari aplikasi perpesanan Telegram digunakan untuk mendistribusikan pintu belakang Purple Fox berbasis Windows pada sistem yang disusupi.

Itu menurut penelitian baru yang diterbitkan oleh Minerva Labs, menggambarkan serangan itu berbeda dari intrusi yang biasanya memanfaatkan perangkat lunak yang sah untuk menjatuhkan muatan berbahaya.

“Aktor ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan menjadi beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh [antivirus] mesin, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox,” peneliti Natalie Zargarov dikatakan.

Pertama kali ditemukan pada tahun 2018, Purple Fox hadir dengan kemampuan rootkit yang memungkinkan malware ditanam di luar jangkauan solusi keamanan dan menghindari deteksi. Laporan Maret 2021 dari Guardicore merinci fitur propagasi seperti cacing, memungkinkan pintu belakang menyebar lebih cepat.

Pencadangan GitHub Otomatis

Kemudian pada Oktober 2021, para peneliti Trend Micro terbongkar implan .NET yang dijuluki FoxSocket digunakan bersama dengan Purple Fox yang memanfaatkan WebSocket untuk menghubungi server command-and-control (C2) untuk sarana komunikasi yang lebih aman.

“Kemampuan rootkit dari Purple Fox membuatnya lebih mampu melakukan tujuannya secara diam-diam,” catat para peneliti. “Mereka memungkinkan Purple Fox untuk bertahan pada sistem yang terpengaruh serta mengirimkan muatan lebih lanjut ke sistem yang terpengaruh.”

Aplikasi Telegram Messenger

Last but not least, pada bulan Desember 2021, Trend Micro juga menjelaskan pada tahap selanjutnya dari rantai infeksi Rubah Ungu, yang melibatkan penargetan database SQL dengan memasukkan runtime bahasa umum SQL berbahaya (CLR) untuk mencapai eksekusi yang gigih dan tersembunyi dan pada akhirnya menyalahgunakan server SQL untuk penambangan cryptocurrency ilegal.

Mencegah Pelanggaran Data

Rantai serangan baru yang diamati oleh Minerva dimulai dengan file penginstal Telegram, skrip AutoIt yang menjatuhkan penginstal yang sah untuk aplikasi obrolan dan pengunduh berbahaya yang disebut “TextInputh.exe,” yang terakhir dijalankan untuk mengambil malware tahap berikutnya dari server C2.

Selanjutnya, file yang diunduh melanjutkan untuk memblokir proses yang terkait dengan mesin antivirus yang berbeda, sebelum melanjutkan ke tahap akhir yang menghasilkan unduhan dan eksekusi rootkit Purple Fox dari server jarak jauh yang sekarang dimatikan.

“Kami menemukan banyak penginstal jahat yang mengirimkan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama,” kata Zargarov. “Sepertinya beberapa dikirim melalui email, sementara yang lain kami asumsikan diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file berbeda yang tidak berguna tanpa seluruh kumpulan file.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.