Une fausse application Telegram pirate les PC avec le malware Purple Fox
Récemment, des pirates ont utilisé une fausse application de messagerie Telegram pour commettre des méfaits. En effet, à cause de cette dernière, le malware Purple Fox a été propagé sur des PC fonctionnant sous Windows.
C’est Minerva Labs qui a partagé cette nouvelle. L’entreprise affirme que l’attaque est différente des intrusions qui utilisent généralement des logiciels classiques pour propager des outils malveillants.
Purple Fox : le malware qui peut passer sous les radars
« Ce pirate a laissé plusieurs indices de l’attaque derrière lui, en séparant l’attaque en plusieurs petits fichiers, dont la plupart était difficile détectable les antivirus, avec pour finalité à l’infection avec le malware Purple Fox. »
Natalie Zargarov, chercheur
Découvert pour la première fois en 2018, Purple Fox est une solution plébiscitée par les pirates, car difficile à détecter. Guardicore avait partagé un rapport en mars 2021, détaillant le fonctionnement rootkit du malware. Le document expliquait notamment comment propager le logiciel malveillant plus rapidement.
Ensuite, en octobre 2021, les chercheurs de Trend Micro ont découvert un implant .NET baptisé FoxSocket, déployé en parallèle avec Purple Fox. Celui-ci tire parti des WebSockets pour contacter ses serveurs de commande et de contrôle (C2) afin d’établir des communications plus sûres.
« Les capacités du rootkit de Purple Fox le rendent plus apte à atteindre ses objectifs de manière plus furtive. (…) Elles permettent à Purple Fox de persister sur les systèmes affectés et de délivrer d’autres charges utiles aux systèmes affectés. »
Extrait du rapport de Trend Micro
Les étapes de l’attaque Telegram mises en lumière
En décembre 2021, Trend Micro a également révélé les autres étapes de la chaîne d’infection de Purple Fox. Celle-ci consiste à cibler les bases de données SQL en insérant un module d’exécution en langage commun SQL malveillant.
D’après Minerva, il y a d’abord un fichier d’installation de Telegram à exécuter. Une fois déployé, ce dernier permet de récupérer le logiciel malveillant sur le serveur C2. Par la suite, les fichiers téléchargés bloquent les antivirus. C’est à la toute fin que le rootkit Purple Fox est téléchargé et exécuté à partir d’un serveur distant désormais fermé.
« Nous avons trouvé un grand nombre d’installateurs malveillants délivrant la même version du rootkit Purple Fox en utilisant la même chaîne d’attaque. (…) Il semble que certains ont été livrés par e-mail, tandis que d’autres, supposons-le, ont été téléchargés à partir de sites web de phishing. »
Natalie Zargarov
Une fois de plus, les pirates redoublent d’ingéniosité pour parvenir à leurs fins. Face à cette recrudescence de hacks, les experts en cyber-sécurité feront-ils des miracles en 2022 ?
