Руткит Purple Fox теперь использует фейковый инсталлятор Telegram

Руткит Purple Fox теперь использует фейковый инсталлятор Telegram

Руткит Purple Fox теперь использует фейковый инсталлятор Telegram

Эксперты Minerva Labs предупреждают о вредоносных установщиках популярного мессенджера Telegram. Как отметили специалисты, троянизированная версия инсталлятора устанавливает в систему Windows бэкдор Purple Fox.

Впервые Purple Fox попал в поле зрения исследователей в 2018 году и отметился функциональными возможностями руткита, которые позволяют ему уходить от детектирования антивирусными средствами.

В марте 2021 года мы писали, что операторы Purple Fox добавили вредоносной программе функции червя, чтобы он мог свободно распространяться по всей экосистеме Microsoft Windows. С помощью зловреда злоумышленники организуют ботнет, добывающий им криптовалюту.

О новой кампании Purple Fox рассказали специалисты Minerva Labs, отметившие в своём блоге следующее:

«Киберпреступникам удалось скрыть свои кибератаки от посторонних глаз, поскольку они разделили вредоносную нагрузку на несколько небольших файлов, большая часть которых практически не детектируется антивирусными движками. Последняя стадия этих атак приводит к установке руткита Purple Fox в систему жертвы».

«Возможности руткита помогают вредоносной программе действовать менее заметно. Например, Purple Fox может дольше оставаться в операционной системе жертвы, а за это время он вполне способен установить дополнительные зловреды».

В описанной экспертами кампании операторы используют в качестве приманки установочные файлы мессенджера Telegram. Они задействуют AutoIt-скрипт, загружающий легитимный инсталлятор мессенджера, а также злонамеренный исполняемый файл TextInputh.exe.

 

Перед заключительным этапом атаки Purple Fox блокирует процессы известных антивирусов, чтобы избежать детектирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Перми задержали сотрудников салона мобильной связи за фиктивные продажи

В Перми полицейские задержали директора и продавца салона сотовой связи за оформление сим-карт на данные посторонних лиц. Задержанным, 1999 и 2003 годов рождения, избрана мера пресечения в виде подписки о невыезде и надлежащем поведении. Расследование продолжается.

О факте задержания сообщил официальный телеграм-канал УМВД по Пермскому краю. По словам самих обвиняемых, они оформляли сим-карты на третьих лиц ради выполнения плана продаж.

Возбуждено уголовное дело по ч. 3 ст. 272 УК РФ — неправомерный доступ к компьютерной информации, совершённый организованной группой либо с использованием служебного положения. Санкции статьи предусматривают до 5 лет лишения свободы или исправительных работ.

«Полиция напоминает: передача персональных данных посторонним может привести к серьёзным последствиям. Злоумышленники могут использовать такую информацию для оформления кредитов на ваше имя или других противоправных действий. Соблюдайте цифровую гигиену, избегайте сомнительных интернет-ресурсов и не передавайте свои данные даже за вознаграждение», — предупреждает УМВД по Пермскому краю.

Сим-карты, оформленные на подставных лиц, часто используются в различных преступных схемах — от взлома аккаунтов до кражи денег через онлайн-банкинг. Известны случаи, когда на номинальных владельцев таких карт оформляли кредиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru