Gefälschte Installer von Telegram-Messaging-Anwendungen werden verwendet, um Purple Fox-Malware zu verbreiten. Der Hauptzweck dieser Malware besteht darin, andere Malware auf das System zu verteilen, das sie infiziert. Die Installer für Telegrammanwendungen werden im Internet verbreitet, um Windows-basierte Backdoor-Malware auf Zielsystemen zu verteilen.
Laut Sicherheitsforschern unterscheidet es sich von den üblichen Angriffen, bei denen legitime Software verwendet wird, um Malware zu verbreiten. Das Installationsprogramm hat das Autolt-Skript kompiliert, das zwei Dateien ablegt, die als das eigentliche Telegram-Installationsprogramm und den bösartigen Downloader bezeichnet werden.
Das dem Programm hinzugefügte legitime Installationsprogramm wird nicht ausgeführt, weshalb das einzige Programm, das geöffnet wird, der bösartige Downloader ist. Sobald es ausgeführt wird, öffnet es neue Ordner und verbindet jeden mit den C2-Servern, um archivierte Dateien herunterzuladen. Diese zweifelhafte Malware hat es auch geschafft, Prozesse im Zusammenhang mit Antivirus zu deaktivieren, bevor sie erkannt wurde.
Darüber hinaus liefert eine große Anzahl bösartiger Installer die Rootkit-Versionen unter Verwendung derselben Angriffskette. Es scheint, als ob einige von ihnen über Spam-E-Mails und Phishing-Websites zugestellt werden. Der Angriff besteht aus einer Reihe von Prozessen und jede Datei ist ohne den gesamten Dateisatz nutzlos. So sagt der Forscher, dass es das Schöne an diesem Angriff ist.
Laut dem Minerva Labs-Bericht gelang es den Bedrohungsakteuren, der Entdeckung zu entgehen, indem sie die Infektion in verschiedene kleine Dateien aufteilten. Unter allen haben die meisten von ihnen sehr niedrige Erkennungsraten und daher können Antiviren-Engines sie nicht als möglicherweise riskant erkennen. Somit injiziert die letzte Stufe des Angriffs das Purple Fox-Rootkit.
Diese dubiose Malware tritt mit neuen Funktionalitäten in Kraft
Malware namens Purple Fox ist seit 2018 bekannt und jedes Jahr kommt diese Malware mit neuen Funktionen heraus, bei denen das Programm mit neuen Funktionen weiterentwickelt wird. Es kommt mit Rootkit-Fähigkeiten und infiziert leicht Computer.
Im Jahr 2021 wiesen Berichte auf neue wurmähnliche Funktionen hin und aufgrund dieser verbreitete sich die Hintertür immer schneller auf den Systemen. Später im Jahr 2021 enthüllte Trend Micro, dass das Implantat namens FoxSocket mit Purple Fox eingesetzt wurde und WebSockets nutzte, um c2-Server zu verbinden, um die Kommunikationsmittel zu verbessern.
Ende des Jahres zielte diese bösartige Malware auf SQL-Datenbanken ab, indem sie ein bösartiges SQL Common Language Runtime-Modul einfügte. Auf diese Weise erreichte die Malware Persistenz und die Ausführung trug dazu bei, die SQL-Server zum Mining von Kryptowährung zu missbrauchen.
Eine andere Möglichkeit, die Telegram-App zu missbrauchen
Telegram ist ein Freeware, plattformübergreifender, Cloud-basierter Instant Messaging-Dienst. Angreifer missbrauchen Anwendungen häufig auf verschiedene Weise. Es gibt viele Details, die von den Angreifern gestohlen und in späteren Betrügereien und Kampagnen verwendet oder für große Summen an andere Personen verkauft werden können. Diese App wurde in verschiedenen Kampagnen verwendet.
Telegram behandelt Smokes Night, das verwendet wurde, um den bösartigen Echelon-Info-Stealer zu verbreiten. Ihr Hauptaugenmerk liegt auf Anmeldeinformationen für Kryptowährungs-Wallet-Konten. Im Oktober 2021 wurde die Probe auf dem Telegrammkanal veröffentlicht, der sich hauptsächlich auf Kryptowährungen konzentrierte.
Diese berüchtigte Malware zielt hauptsächlich auf Filesharing- und Messaging-Apps wie FileZilla, Discord Edge, Outlook und Telegram selbst ab. Diese Kampagne richtet sich normalerweise an unerfahrene Benutzer auf jedem einzelnen Kanal. Die Angreifer verteilen den Information Stealer in einer archivierten Datei, die drei Dateien enthält.
Unter allen war einer von ihnen eine bösartige ausführbare Datei für Echelon Credential Stealer-Malware. Um eine Erkennung zu vermeiden, enthielt die Nutzlast daher zusätzliche Funktionen. Diese Funktionen fungieren auch als Anti-Debugging-Funktionen, die den Prozess ausführen, wenn Malware-Analysetools erkannt werden.