Purple Fox mit neuem Infektionsvektor

Publiziert am 30. März 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein Shortie in Sachen IT-Sicherheit. Trend Micro Research hat einen neuen Blog-Beitrag veröffentlicht, in dem über eine neue Malware-Kampagne berichtet wird. Die Betreiber von Purple Fox verwenden aktualisierte Tools und einen neuen Ankunftsvektor, um ihre Opfer zu infizieren.

Anzeige

Die Malware bzw. die Gruppe ist seit 2018 bekannt, als über 30.000 Opfer infiziert wurden. 2021 konnte Trend Micro Research herausfinden, wie die Malware Krypto-Miner herunterlädt und einsetzt. Gleichzeitig konnte beobachtet werden, dass die Gang ihre Infrastruktur weiter verbesserte und gleichzeitig neue Hintertüren hinzufügte. Nun gibt es wohl neue Erkenntnisse zur Malware und zu neuen Tools, die die Gruppe verwendet.

In obigem Tweet wird auf einen Artikel verlinkt, in dem Details über den Angriffsweg und die verwendeten Tools beschrieben werden. So wird ein Remote Access-Trojaner FatalRAT eingesetzt. Die Angreifer verbreiten ihre Malware über getarnte Softwarepakete, die den First Stage Loader enthalten. Sie verwenden dazu beliebte legitime Anwendungsnamen wie Telegram, WhatsApp, Adobe und Chrome, um ihre bösartigen Installationspakete zu verstecken.

Aktuell scheint das Bedrohungspotential für Deutschland noch niedrig, da einige der infizierten Software-Pakete häufig von chinesischen Benutzern verwendet wurden. Die folgende Liste zeigt die kürzlich verwendete Software und die entsprechende bösartige Nutzlast für die zweite Phase der Infektion. Wie bereits erwähnt, werden die verschiedenen Nutzdaten vom C&C bei der Ausführung auf der Grundlage des letzten Zeichens im Dateinamen des Moduls bereitgestellt.

Purple Fox Loader-Software-Pakete

Hier kann man Nutzern und Administratoren nur raten, sicherzustellen, dass die Installer-Pakete für benutze Software von den zuständigen Entwicklerfirmen verwendet werden. Gleichzeitig sollte man im Hinterkopf behalten, dass die Hintermänner ihre Schadsoftware ständig weiter entwickeln und die verteilte Malware über die C&C-Server häufiger wechseln kann. Daher gilt es, den Downloader abzuwehren, so dass dieser gar nicht auf den Systemen landet, um weitere Malware zu laden und zu installieren.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Purple Fox mit neuem Infektionsvektor

  1. Wil Ballerstedt sagt:
    30. März 2022 um 11:42 Uhr

    Purple Fox dürfte zuerst auf Fire Fox laufen. Ich bin gut raus.

    SCNR

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.