Purple Fox hakerlərinin sonuncu Malware hücumlarında FatalRAT-ın yeni versiyasından istifadə etdiyi aşkarlanıb.

"Purple Fox" "malware" operatorları öz zərərli proqram ehtiyatını FatalRAT adlı məsafədən idarəolunma funksiyalı troyanın yeni versiyası ilə yenidən təchiz edib, eyni zamanda təhlükəsizlik proqramından yayınmaq üçün proqram mexanizmlərini təkmilləşdiriblər. Trend Micro tədqiqatçıları 25 mart 2022-ci ildə dərc edilmiş hesabatda bildiriblər: "İstifadəçilərin komputerləri qanuni proqram kimi maskalanan troyan virusu ilə yoluxdurulmuş proqram paketləri vasitəsilə hədəfə alınır. İstifadəçiləri aldatmaq və ümumi botnet infrastrukturunu artırmaq üçün quraşdırma proqramlar onlayn olaraq fəal şəkildə paylanır." Tapıntılar backdoor-u yaymaq üçün saxta Telegram tətbiqlərindən analoji istifadəni aşkar edən Minerva Laboratoriyalarının əvvəlki araşdırmalarına əsaslanır. Digər maskalanmış software proqram yükləyicilərinə WhatsApp, Adobe Flash Player və Google Chrome daxildir. Bu paketlər ilkin mərhələdə yükləyici kimi çıxış edərək məsafədən idarə edilən server vasitəsilə payload yerləşdirilməsinin ikinci mərhələsini həyata keçirən və onun xüsusiyyətlərini FatalRAT-dan qəbul edən ikilik faylın işə salınması ilə yekunlaşan yoluxdurma prosesini işə salır.

FatalRAT əmrləri yerinə yetirmək, şəxsi məlumatları məsafədən idarə olunan serverə ötürmək üçün nəzərdə tutulmuş C++ proqramlaşma dilinə əsaslanan proqram örtüyüdür və müntəzəm olaraq zərərli proqram müəllifləri backdoor funksiyalarını yeniləyir. Tədqiqatçılar bildirib ki, "RAT virusla yoluxmuş sistemlərdə aparılan yoxlamalar əsasında köməkçi modulların yüklənməsi və işə salınmasına cavabdehdir". “Dəyişikliklər xüsusi antivirus proqramlar işə salındıqda və ya qeydiyyatdan keçmək mümkün olduqda həyata keçirilə bilər. Köməkçi modullar qrupun xüsusi məqsədləri üçün dəstək kimi nəzərdə tutulub”.

Bundan əlavə, rutkit modullu Purple Fox, sistemdən faylların surətini çıxarmaq və silmək, həmçinin fayl sisteminə göndərilən zəngləri ələ keçirməklə antivirus proqramlarından yayınmaq da daxil olmaqla beş fərqli funksiyanı dəstəkləyir. Araşdırmalar həmçinin "DirtyMoe" adlı başqa bir botnet üçün yerləşdirmə kanalı kimi fəaliyyət göstərən "Purple Fox" hücumlarını əhatə edən yeni kampaniyanın təfərrüatlarını əks etdirən Avast kibertəhlükəsizlik firmasının son açıqlamalarına əsaslanır. Tədqiqatçılar bildirib ki, "Purple Fox botnetinin operatorları hələ də fəaliyyətdədir və ardıcıl olaraq öz ehtiyatlarını yeni zərərli proqramlarla yeniləməklə yanaşı, eyni zamanda mövcud zərərli proqram versiyalarını təkmilləşdirir". "Onlar həmçinin antivirusdan yayınma üçün yüklənmiş rutkit proqramını təkmilləşdirməyə və xüsusi imzalanmış sistem drayverləri ilə onları hədəf alaraq antivirus sistemlərindən yayınmağa çalışırlar."