Gli operatori del malware Purple Fox hanno riorganizzato il loro arsenale di malware con una nuova variante di un trojan di accesso remoto denominato FatalRAT. Non solo, hanno aggiornato inoltre contemporaneamente i loro meccanismi di evasione per aggirare il programma software di sicurezza.
Le macchine dei clienti sono focalizzate tramite pacchetti di programmi software trojanizzati mascherati da rispettabili installatori di software.
hanno affermato i ricercatori di Development Micro in un rapporto stampato il 25 marzo 2022.
I programmi di installazione sono attivamente distribuiti online per ingannare i clienti e migliorare il generale infrastruttura botnet.
I risultati sono conformi alle analisi di Minerva Labs. Questi chiariscono un identico modus operandi di sfruttare le funzioni fraudolente di Telegram per distribuire la backdoor. Diversi programmi di installazione di programmi software mascherati includono WhatsApp, Adobe Flash Participant e Google Chrome.
Come agisce FatalRAT
Questi pacchetti agiscono come un caricatore di prima fase. In primo luogo innescano una sequenza di infezione che si traduce nella distribuzione di un carico utile di seconda fase da un server distante e culmina nell'esecuzione di un binario che eredita le sue opzioni da FatalRAT.
FatalRAT è un impianto basato su C++ progettato per eseguire istruzioni ed esfiltrare nuovamente dati delicati su un server distante; il tutto con gli autori del malware che aggiornano in modo incrementale la backdoor con nuove prestazioni.
Il RAT è responsabile del caricamento e dell'esecuzione dei moduli ausiliari principalmente sulla base dei controlli effettuati sui metodi del malato. Possono verificarsi degli aggiustamenti se sono operativi particolari broker (antivirus) o se vengono rilevate chiavi di registro. I moduli ausiliari dovrebbero essere di aiuto per gli obiettivi particolari del gruppo.
hanno affermato i ricercatori.
Inoltre, Purple Fox, che arriva con un modulo rootkit, viene fornito con l'aiuto per 5 istruzioni completamente diverse, insieme alla copia e all'eliminazione delle informazioni dal kernel oltre a eludere i motori antivirus intercettando le chiamate inviate al file system.
I risultati sono inoltre conformi alle ultime rivelazioni dell'agenzia di sicurezza informatica Avast, che ha descritto in dettaglio una nuovissima campagna di marketing che riguardava il framework di sfruttamento Purple Fox che fungeva da canale di distribuzione per un'altra botnet denominata DirtyMoe.
Gli operatori della botnet Purple Fox sono comunque vivaci e aggiornano costantemente il loro arsenale con nuovi malware, aggiornando inoltre le varianti di malware che hanno. Stanno inoltre tentando di migliorare il loro arsenale di rootkit firmato per l'evasione (antivirus) e tentando di aggirare i meccanismi di rilevamento concentrandosi su di essi con driver del kernel firmati personalizzati.