Los operadores del malware Purple Fox han rediseñado su arsenal de malware con una nueva variante de un troyano de acceso remoto llamado FatalRAT, al mismo tiempo que actualizan sus mecanismos de evasión para eludir el software de seguridad.
«Las máquinas de los usuarios son atacadas a través de paquetes de software con troyanos que se hacen pasar por instaladores de aplicaciones legítimos», investigadores de Trend Micro dijo en un informe publicado el 25 de marzo de 2022. «Los instaladores se distribuyen activamente en línea para engañar a los usuarios y aumentar la infraestructura general de botnet».
Los hallazgos siguen investigaciones previas de Minerva Labs que arrojan luz sobre un modus operandi similar de aprovechar las aplicaciones fraudulentas de Telegram para distribuir la puerta trasera. Otros instaladores de software encubiertos incluyen WhatsApp, Adobe Flash Player y Google Chrome.
Estos paquetes actúan como un cargador de primera etapa, desencadenando una secuencia de infección que conduce al despliegue de una carga útil de segunda etapa desde un servidor remoto y culminando en la ejecución de un binario que hereda sus características de FatalRAT.
rata fatal es un implante basado en C++ diseñado para ejecutar comandos y filtrar información confidencial de vuelta a un servidor remoto, con los autores de malware actualizando gradualmente la puerta trasera con nueva funcionalidad.
«La RAT es responsable de cargar y ejecutar los módulos auxiliares en función de las comprobaciones realizadas en los sistemas de las víctimas», dijeron los investigadores. «Pueden ocurrir cambios si se especifican [antivirus] los agentes se están ejecutando o si se encuentran claves de registro. Los módulos auxiliares están pensados como apoyo a los objetivos específicos del grupo.”
Además, Purple Fox, que viene con un módulo de rootkit, viene con soporte para cinco comandos diferentes, incluida la copia y eliminación de archivos del kernel, así como la evasión de los motores antivirus al interceptar las llamadas enviadas al sistema de archivos.
Los hallazgos también siguen las recientes revelaciones de la firma de seguridad cibernética Avast, que detalló una nueva campaña que involucró al marco de explotación de Purple Fox actuando como un canal de implementación para otra red de bots llamada DirtyMoe.
«Los operadores de la botnet Purple Fox todavía están activos y actualizan constantemente su arsenal con nuevo malware, al tiempo que actualizan las variantes de malware que tienen», dijeron los investigadores. «También están tratando de mejorar su arsenal de rootkits firmados para [antivirus] evasión y tratando de eludir los mecanismos de detección apuntándolos con controladores de kernel firmados personalizados».