“Este actor de amenazas pudo mantener la mayor parte del ataque bajo el radar dividiendo el ataque en varios archivos pequeños, la mayoría de los cuales tenían tasas de detección muy bajas por parte del [antivirus] motores, el último paso que conduce a la infección del rootkit Purple Fox, dijo la investigadora Natalie Zargarov.
Descubierto por primera vez en 2018, Purple Fox viene con capacida des de rootkit que permiten plantar el malware más allá del alcance de las soluciones de seguridad y evadir la detección. Un informe de marzo de 2021 de Guardicore detalló su función de propagación similar a un gusano, lo que permite que la puerta trasera se propague más rápidamente.
Luego, en octubre de 2021, los investigadores de Trend Micro descubrieron un implante .NET denominado FoxSocket distribuido en asociación con Purple Fox que usa WebSockets para contactar sus servidores de comando y control (C2) para una forma más segura de establecer comunicaciones.
“Las capacidades del rootkit Purple Fox lo hacen más capaz de lograr sus objetivos de una manera más sigilosa”, señalaron los investigadores. “Permiten que Purple Fox persista en los sistemas afectados y entregue cargas útiles adicionales a los sistemas afectados.
Por último, pero no menos importante, en diciembre de 2021, Trend Micro también arrojó luz sobre las últimas etapas de la cadena de infección de Purple Fox, apuntando a las bases de datos SQL insertando un módulo SQL Common Language Runtime (CLR) malicioso para lograr una ejecución persistente y sigilosa y, en última instancia, un abuso. los servidores SQL para la minería ilícita de criptomonedas.
La nueva cadena de ataques observada por Minerva comienza con un archivo instalador de Telegram, un script AutoIt que publica un instalador legítimo para la aplicación de chat y un descargador malicioso llamado “TextInputh.exe”, este último se ejecuta para recuperar el próximo malware del Servidor C2.
Luego, los archivos descargados bloquean los procesos asociados con los diferentes motores antivirus, antes de pasar al paso final de descargar y ejecutar el rootkit Purple Fox desde un servidor remoto que ahora está inactivo. instaladores que proporcionan la misma versión del rootkit Purple Fox usando la misma cadena de ataque ”, dijo Zargarov.
“Algunos parecen haber sido enviados por correo electrónico, mientras que otros, suponemos, se descargaron de sitios web de phishing. La belleza de este ataque es que cada paso es independiente para un archivo diferente, lo cual es innecesario sin todos los archivos.
Fuente: The Hacker News