Des installateurs de chevaux de Troie de l’application de messagerie Telegram sont utilisés pour déployer le malware Purple Fox basée sur Windows sur des systèmes compromis.
C’est ce que révèle une nouvelle étude publiée par Minerva Labs, qui décrit l’attaque comme différente des intrusions qui profitent généralement de logiciels légitimes pour déposer des payloads malveillants.
« Cet acteur de la menace a pu laisser la plupart des parties de l’attaque sous le radar en séparant l’attaque en plusieurs petits fichiers, dont la plupart avaient des taux de détection très faibles par les moteurs [antivirus], avec l’étape finale menant à l’infection par le rootkit Purple Fox« , a déclaré le chercheur Natalie Zargarov.
Découvert pour la première fois en 2018, Purple Fox est doté de capacités de rootkit qui permettent au malware d’être implanté hors de portée des solutions de sécurité et d’échapper à la détection. Un rapport de mars 2021 de Guardicore a détaillé sa fonction de propagation de type ver, permettant à la porte dérobée de se propager plus rapidement.
Puis, en octobre 2021, les chercheurs de Trend Micro ont découvert un implant .NET surnommé FoxSocket déployé conjointement avec Purple Fox, qui tire parti des WebSockets pour contacter ses serveurs de commande et de contrôle (C2) afin de disposer d’un moyen plus sûr d’établir des communications.
« Les capacités du rootkit de Purple Fox le rendent plus apte à atteindre ses objectifs de manière plus furtive« , notent les chercheurs. « Elles permettent à Purple Fox de persister sur les systèmes affectés ainsi que de délivrer d’autres charges utiles sur les systèmes affectés. »
Enfin, en décembre 2021, Trend Micro a également fait la lumière sur les étapes ultérieures de la chaîne d’infection de Purple Fox, ciblant les bases de données SQL en insérant un module d’exécution en langage commun (CLR) SQL malveillant pour obtenir une exécution persistante et plus furtive et finalement abuser des serveurs SQL pour le minage illicite de crypto-monnaies.
La nouvelle chaîne d’attaque observée par Minerva commence par un fichier d’installation de Telegram, un script AutoIt qui dépose un programme d’installation légitime pour l’application de chat et un téléchargeur malveillant appelé « TextInputh.exe« , ce dernier étant exécuté pour récupérer le logiciel malveillant de stade suivant sur le serveur C2.
Par la suite, les fichiers téléchargés bloquent les processus associés à différents moteurs antivirus, avant de passer à l’étape finale qui aboutit au téléchargement et à l’exécution du rootkit Purple Fox à partir d’un serveur distant désormais fermé.
« Nous avons trouvé un grand nombre d’installateurs malveillants délivrant la même version du rootkit Purple Fox en utilisant la même chaîne d’attaque », a déclaré Zargarov. « Il semble que certains ont été livrés par e-mail, tandis que d’autres, nous supposons, ont été téléchargés à partir de sites Web de phishing. La beauté de cette attaque est que chaque étape est séparée dans un fichier différent qui sont inutiles sans l’ensemble des fichiers. »