Les opérateurs du logiciel malveillant Purple Fox ont réorganisé leur arsenal de logiciels malveillants avec une nouvelle variante d’un cheval de Troie d’accès à distance appelé FatalRAT, tout en améliorant simultanément leurs mécanismes d’évasion pour contourner les logiciels de sécurité.
« Les machines des utilisateurs sont ciblées via des packages logiciels troyens se faisant passer pour des installateurs d’applications légitimes », ont déclaré les chercheurs de Trend Micro. mentionné dans un rapport publié le 25 mars 2022. « Les installateurs sont activement distribués en ligne pour tromper les utilisateurs et augmenter l’infrastructure globale du botnet. »
Les résultats font suite à des recherches antérieures de Minerva Labs qui ont mis en lumière un mode opératoire similaire consistant à tirer parti des applications Telegram frauduleuses pour distribuer la porte dérobée. D’autres programmes d’installation de logiciels déguisés incluent WhatsApp, Adobe Flash Player et Google Chrome.
Ces packages agissent comme un chargeur de première étape, déclenchant une séquence d’infection qui conduit au déploiement d’une charge utile de deuxième étape à partir d’un serveur distant et aboutit à l’exécution d’un binaire qui hérite ses fonctionnalités de FatalRAT.
RAT fatal est un implant basé sur C++ conçu pour exécuter des commandes et exfiltrer des informations sensibles vers un serveur distant, les auteurs de logiciels malveillants mettant progressivement à jour la porte dérobée avec de nouvelles fonctionnalités.
« Le RAT est responsable du chargement et de l’exécution des modules auxiliaires sur la base des vérifications effectuées sur les systèmes victimes », ont déclaré les chercheurs. « Des changements peuvent se produire si spécifiques [antivirus] agents sont en cours d’exécution ou si des clés de registre sont trouvées. Les modules auxiliaires sont destinés à soutenir les objectifs spécifiques du groupe. »
De plus, Purple Fox, qui est livré avec un module rootkit, prend en charge cinq commandes différentes, y compris la copie et la suppression de fichiers du noyau ainsi que l’évitement des moteurs antivirus en interceptant les appels envoyés au système de fichiers.
Les conclusions font également suite aux récentes révélations de la société de cybersécurité Avast, qui a détaillé une nouvelle campagne impliquant le cadre d’exploitation Purple Fox agissant comme un canal de déploiement pour un autre botnet appelé DirtyMoe.
« Les opérateurs du botnet Purple Fox sont toujours actifs et mettent constamment à jour leur arsenal avec de nouveaux logiciels malveillants, tout en mettant à jour les variantes de logiciels malveillants dont ils disposent », ont déclaré les chercheurs. « Ils essaient également d’améliorer leur arsenal de rootkits signés pour [antivirus] l’évasion et en essayant de contourner les mécanismes de détection en les ciblant avec des pilotes de noyau signés personnalisés. »