Las aplicaciones falsas de Telegram Messenger actualmente piratean dispositivos, incluidas PC, con un malware basado en Windows que puede poner en riesgo su información al evadir los sistemas antivirus instalados, según los investigadores de ciberseguridad
Según un informe de Minerva Labs, fundado en 2014 por ex oficiales de las Fuerzas de Defensa de Israel que sirvieron en las fuerzas cibernéticas de élite, se están utilizando instaladores falsos de la aplicación de mensajería Telegram para distribuir’Purple Fox’puerta trasera en sistemas comprometidos.
“Encontramos una gran cantidad de instaladores maliciosos que entregan la misma versión de rootkit’Purple Fox’usando la misma cadena de ataque. Parece que algunos se entregaron por correo electrónico, mientras que otros asumimos que se descargaron de sitios web de phishing”, dijo la investigadora Natalie Zargarov.
“La belleza de este ataque es que cada etapa se separa en un archivo diferente que es inútil sin el archivo completo colocar. Esto ayuda al atacante a proteger sus archivos de la detección de AV (antivirus)”, informó el investigador.
Durante la investigación, encontraron que el actor de la amenaza pudo dejar la mayor parte del ataque bajo el radar. separando el ataque en varios archivos pequeños, la mayoría de los cuales tenían tasas de detección muy bajas por parte de los motores (antivirus),”con la etapa final que conduce a la infección del rootkit Purple Fox”.
Descubierto por primera vez en 2018,’Purple Fox’viene con capacidades de rootkit que permiten plantar el malware más allá del alcance de las soluciones antivirus, informa thehackernews.com.
En octubre de 2021, los investigadores de Trend Micro descubrieron un implante.NET denominado FoxSocket implementado en en conjunto con Purple Fox.
“Las capacidades de rootkit de Purple Fox lo hacen más capaz de llevar a cabo sus objetivos de una manera más sigilosa”, señalaron los investigadores.
“Permiten que Purple Fox para persistir en los sistemas afectados y entregar más cargas útiles a los sistemas afectados”.
Zargarov sa id que a menudo han observado a los actores de amenazas que utilizan software legítimo para eliminar archivos maliciosos.
“Esta vez, sin embargo, es diferente. Este actor de amenazas pudo dejar la mayor parte del ataque bajo el radar al separar el ataque en varios archivos pequeños, la mayoría de los cuales tenían tasas de detección muy bajas por parte de los motores AV, y la etapa final condujo a la infección del rootkit de Purple Fox, señaló el investigador..
FacebookTwitterLinkedin
