Actualités

Purple Fox : quand le rootkit prend l’allure de l’installateur légitime de Telegram pour ex-filtrer les données-utilisateur !

En partenariat avec MalwareHunter, l’équipe Minerva met en relief un côté insolite du rootkit infectieux : du nom de Purple Fox, il reprend, cette fois, les traits de l’installateur Telegram originel pour mieux s’instiller dans le système ; progressivement et en plusieurs fois.

 

 

Ce type de modus operandi permet ainsi, est-il expliqué, d’éviter toute détection (type anti-virus, par exemple) dans le système : tout commence avec une banale icône ressemblant, à s’y méprendre, à Telegram et nommée “Telegram desktop.exe“. En réalité, il s’agit d’un script Autolt qui s’attèlera, une fois le clic-souris ou tap-écran effectué(e), à créer un nouveau dossier (textInputh) depuis le fichier Temp (AppData\Local) pour charger un téléchargeur malicieux (textInputh.exe) ainsi que, tout de même, l’installateur Telegram légitime (qui ne sera, bien sûr, jamais initialisé en premier lieu dans ce cas de figure malveillant).

Le téléchargeur, à son tour, conçoit un dossier (1640618495) depuis Directory (Public\Videos) et permettra, également, de communiquer de manière distante via le serveur command-and-control. Ce dernier viendra ajouter au poste infecté deux autres fichiers dans ce dossier fraîchement conçu (1.rar + 7zz.exe). Quelques tour de passe-passe après (dont l’effacement de ces fichiers), un DLL permettra (après chargement d’un fichier-texte) de créer une clé-registre depuis System (Select\MarkTime) pour exécuter la charge virale et déployer tout un tas de petits processus en arrière-plan qui viendront gangréner le système, avant d’ex-filtrer une multitude d’information – toujours par command-and-control (serveur) – comme les informations-système (mémoire, pilotes, CPU, host-name…). Des tâches sont aussi lancés pour savoir quels processus sont actifs ou non sur le terminal vérolé (ce qui inclut donc un cyber-espionnage, en plus de l’ex-filtration de données) en vérifiant quels anti-virus sont présents.

Un fichier .MSI (Shellcode chiffré en 32-bit et 64-bit) est exécuté : un redémarrage-système s’opère et de nombreuses clé-registre sont renommées ou désactivées via le DLL incriminé (dont l’appel-pilote, CallDriver.exe). La prudence est de rigueur : selon les chercheurs, la distribution de Purple Fox se ferait via mail ou depuis des sites de téléchargements non-officiels… A veiller !

 

 

Source : blog Minerva – 3 Janvier 2022 – Purple Fox : un faux-installateur Telegram qui espionne et aspire les données-utilisateur de l’ordinateur.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0