Specjaliści ostrzegają użytkowników przed narzędziem do pobierania złośliwego oprogramowania, które podszywa się pod instalator popularnej platformy komunikacyjnej Telegram.
Według naukowców zajmujących się cyberbezpieczeństwem, Minerva Labs, ktoś dystrybuuje 2 pliki w jednym pobraniu: jeden to legalny instalator Telegrama, a drugi to program AutoIT, również downloader, ale dla złośliwego oprogramowania. PurpleFox.
Po pobraniu Telegram nie działa, ale działa AutoIT. Wydaje się, że jest to aplikacja dwuetapowa, przy czym pierwszym krokiem jest ostrzeżenie i potwierdzenie. Złośliwe oprogramowanie najpierw przeskanuje urządzenie, wyłączy wszelkie zabezpieczenia, zainstaluje określone wpisy rejestru, a gdy tylko będzie gotowe, powiadomi swój serwer dowodzenia i kontroli (C2) i może rozpocząć pobieranie złośliwego oprogramowania drugiego etapu.
Leć pod radarem
Drugi etap, prawdziwy Purple Fox, może wyrządzić wiele szkód na urządzeniu docelowym, od znalezienia i eksfiltracji plików, niszczenia procesów, usuwania danych, takich jak odrobaczanie w innych systemach Windows lub pobieranie i uruchamianie innego złośliwego kodu.
Chociaż raport Minerva Labs nie bada dalej, kto stoi za atakiem, zauważa, że wieloetapowe podejście utrudnia rozwiązaniom cyberbezpieczeństwa wykrycie i złagodzenie ataku.
„Ten cyberprzestępca był w stanie ukryć większość ataków, dzieląc atak na wiele małych plików, z których większość miała bardzo niskie wskaźniki wykrywania przez silniki AV (antywirusowe), przy czym ten ostatni krok doprowadził do infekcji Purple Fox Rootkit , on tłumaczy.
Zauważył również, że pliki są dystrybuowane na różne sposoby, od e-maili po strony phishingowe. Dobrą wiadomością jest to, że kiedy naukowcy opublikowali swoje wyniki, serwer C2 był już wyłączony.
Pamiętaj, zawsze upewnij się, że pobierasz oprogramowanie z legalnych źródeł i kwestionuj wszystko, co otrzymujesz w wiadomości e-mail.
- Możesz również zapytać o naszą listę najlepszych obecnie zapór ogniowych.