Network
MEDIA TULUNGAGUNG – Seluruh pengguna aplikasi Telegram harus waspada, hacker mengintai dengan aplikasi palsu berisi malware dan virus berbahaya.
Pemasang Trojan dari aplikasi perpesanan Telegram digunakan untuk mendistribusikan backdoor Purple Fox berbasis Windows pada sistem yang disusupi.
Itu menurut penelitian baru yang diterbitkan oleh Minerva Labs, menggambarkan serangan itu berbeda dari intrusi yang biasanya memanfaatkan perangkat lunak yang sah untuk menjatuhkan muatan berbahaya.
"Aktor ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan menjadi beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin (antivirus), dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox, " kata peneliti Natalie Zargarov seperti dilansir dari The Hacker News.
Pertama kali ditemukan pada tahun 2018, Purple Fox hadir dengan kemampuan rootkit yang memungkinkan malware ditanam di luar jangkauan solusi keamanan dan menghindari deteksi.
Laporan Maret 2021 dari Guardicore merinci fitur propagasi seperti cacing, memungkinkan pintu belakang menyebar lebih cepat.
Kemudian pada Oktober 2021, peneliti Trend Micro menemukan implan .NET yang dijuluki FoxSocket yang digunakan bersama dengan Purple Fox yang memanfaatkan WebSockets untuk menghubungi server perintah-dan-kontrol (C2) untuk sarana komunikasi yang lebih aman.
“Kemampuan rootkit dari Purple Fox membuatnya lebih mampu melakukan tujuannya secara diam-diam,” catat para peneliti.
"Mereka memungkinkan Purple Fox untuk bertahan pada sistem yang terpengaruh serta mengirimkan muatan lebih lanjut ke sistem yang terpengaruh." Imbuhnya.
Pada bulan Desember 2021, Trend Micro juga menjelaskan tahap selanjutnya dari rantai infeksi Purple Fox, menargetkan database SQL dengan memasukkan modul SQL common language runtime ( CLR ) berbahaya untuk mencapai eksekusi yang gigih dan tersembunyi dan akhirnya menyalahgunakan server SQL untuk penambangan cryptocurrency ilegal.
Baca Juga: MP3Juice.info Free Download Music MP3 Youtube, Unduh Musik Favorit Tanpa Aplikasi
Rantai serangan baru yang diamati oleh Minerva dimulai dengan file penginstal Telegram, skrip AutoIt yang menjatuhkan penginstal sah untuk aplikasi obrolan dan pengunduh berbahaya yang disebut "TextInputh.exe," yang terakhir dijalankan untuk mengambil malware tahap berikutnya dari server C2.
Selanjutnya, file yang diunduh melanjutkan untuk memblokir proses yang terkait dengan mesin antivirus yang berbeda, sebelum melanjutkan ke tahap akhir yang menghasilkan unduhan dan eksekusi rootkit Purple Fox dari server jarak jauh yang sekarang dimatikan.
"Kami menemukan banyak penginstal jahat yang mengirimkan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama," kata Zargarov.
"Sepertinya beberapa dikirim melalui email, sementara yang lain kami asumsikan diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file berbeda yang tidak berguna tanpa seluruh kumpulan file." Sambungnya.***
