Posté le janvier 5, 2022 à 17:47
MÉFIEZ-VOUS DE CE LOGICIEL MALVEILLANT ! CERTAINES APPLICATIONS DE MESSAGERIE TELEGRAM NE SONT PAS SANS DANGER
Les chercheurs en sécurité de Minerva Labs ont révélé que les hackers utilisent l’application de messagerie Telegram pour installer la porte dérobée Purple Fox sur les systèmes Windows.
Selon les chercheurs, le taux de détection de cette campagne est très faible, contrairement à d’autres campagnes similaires qui utilisent des logiciels légitimes pour diffuser des logiciels malveillants.
« Nous avons souvent observé des hackers utilisant des logiciels légitimes pour insérer des fichiers malveillants », selon l’analyse publiée par Minerva Labs.
Les hackers ont pu contourner tout contrôle de sécurité et rester sous le radar en décomposant l’attaque en différents segments. Ces petits fichiers ont un taux de détection très faible par les moteurs AV. Cependant, la dernière phase de l’attaque conduit à l’infection du rootkit Purple Fox.
Le logiciel malveillant Purple Fox se présente sous la forme de paquets malveillants « .msi » et a été découvert pour la première fois en 2018 dans près de 2 000 serveurs Windows infectés.
Les données personnelles des utilisateurs sont en danger
Le programme d’installation extrait et décrypte la charge utile du paquet MSI. Cependant, en mars de l’année dernière, les chercheurs de Guardicore ont découvert une nouvelle variante du logiciel malveillant. Selon les chercheurs, la nouvelle variante offre des capacités de propagation similaires à celles d’un ver.
Mais le programme d’installation analysé par les chercheurs de Minerva Labs est un script AutoIt compilé appelé « Telegram Desktop.exe ». Les applications Telegram Messenger infectées sont des dispositifs de piratage de devises qui peuvent mettre en danger les données des utilisateurs.
Selon la chercheuse Natalie Zargorav, l’équipe de recherche a découvert un grand nombre d’installateurs malveillants qui délivrent la même version du rootkit « Purple Fox » en utilisant la même chaîne d’attaque. Les logiciels malveillants ont été téléchargés à partir de sites de phishing, tandis que d’autres ont été livrés par une chaîne, a réitéré Zaragoza Zargorav.
Chacun des fichiers séparés ne peut pas rester seul et est utilisé pour lancer une attaque. Mais les hackers ont choisi de les séparer pour ne pas risquer d’être détectés par les logiciels de sécurité. Une fois que les fichiers ont franchi les contrôles de sécurité des logiciels antivirus, ils sont rapidement assemblés pour représenter une formidable force d’attaque.
Des chercheurs ont découvert d’autres variantes de ce logiciel malveillant
D’autres variantes de ce logiciel malveillant ont été découvertes par le passé. En octobre de l’année dernière, un implant .NET appelé FoxSocket a été découvert par les chercheurs de Trend Micro. L’implant a été acheminé avec Purple Fox par le hacker.
« Les capacités du rootkit de Purple Fox le rendent plus apte à atteindre ses objectifs de manière plus furtive », ont déclaré les chercheurs. Ces capacités permettent à Purple Fox de rester correctement caché dans les systèmes compromis tout en délivrant davantage de charges utiles au système.
Le mois dernier, Trend Micro a expliqué les dernières étapes de la chaîne d’infection de Purple Fox. Selon les chercheurs, le logiciel malveillant cible la base de données SQL en installant un module CLR (Common Language Routine) malveillant. Ce module active une exécution furtive et persistante, puis exploite les serveurs SQL à des fins de minage frauduleux de crypto-monnaie.
La chaîne d’attaque commence par un installateur Telegram avant de s’exécuter pour récupérer le logiciel malveillant de l’étape suivante sur le serveur de commande et contrôle (C2).
Après avoir implanté la charge utile initiale, les fichiers téléchargés sont déployés pour empêcher les processus liés à différents moteurs antivirus avant de passer à la dernière étape de l’infection.
Zargarov note que l’équipe de recherche a découvert un grand nombre d’installateurs malveillants qui délivrent la même version du rootkit Purple Fox.
Le logiciel malveillant infecte les systèmes d’exploitation 62 et 32 bits
Le logiciel malveillant est utilisé pour collecter des informations de base sur le système et recherche tout outil de sécurité fonctionnant sur le système compromis avant de les envoyer au C2 codé en dur.
Dans la dernière étape de l’attaque, Purple Fox est téléchargé depuis le C2 sous la forme d’un fichier .msi contenant un shellcode crypté pour les systèmes d’exploitation 62 et 32 bits.
Purple Fox désactive également l’UAC pour mener un large éventail d’attaques malveillantes, notamment le téléchargement de fichiers, la destruction de processus et l’exécution de charges utiles supplémentaires.
Après l’exécution du logiciel malveillant, le système compromis est redémarré afin que les nouveaux paramètres de registre prennent effet, en particulier la désactivation du Contrôle de compte d’utilisateur (UAC).
Le logiciel malveillant Purple Fox accède facilement au système lorsque l’UAC est désactivé, ce qui lui permet de disposer de privilèges d’administrateur.
En général, le rôle de l’UAC est d’empêcher l’installation non autorisée d’applications sur le système. Il empêche également tout programme de modifier les paramètres du système, ce qui signifie qu’il doit rester actif en permanence sur Windows.
En outre, lorsque l’UAC est désactivé, il permet à Purple Fox d’effectuer certaines activités malveillantes telles que l’exécution de code, la suppression de données, l’exfiltration, ainsi que la recherche de fichiers.
On ne sait pas encore comment Purple Fox est propagé, bien que des campagnes de logiciels malveillants similaires découvertes l’année dernière aient été diffusées par le biais de faux sites de téléchargement de logiciels, de vidéos YouTube et de spam sur les forums.
Pour plus de sécurité, il a été conseillé aux utilisateurs de télécharger Telegram uniquement depuis le site officiel de la messagerie et non depuis des sites tiers.
