I cyber criminali stanno sfruttando il rootkit Purple Fox, capace di passare inosservato agli strumenti di sicurezza, per compromettere sistemi Windows: a distribuire il malware è un’app fasulla di Telegram in versione desktop che punta a installare una backdoor su Windows. Lo ha rilevato Minerva Labs, dopo aver scoperto un’applicazione trojanizzata del noto sistema di messaggistica.
“Come dichiarano anche i ricercatori, non è chiaro al momento come il fake installer contenente Purple Fox venga distribuito”, commenta Pierguido Iezzi, esperto di cyber security e CEO di Swascan.
Indice degli argomenti
Come funziona l’attacco con Purple Fox
“In passato i metodi di diffusione più comuni per questo tipo malware sono state le campagne di phishing, lo spam sui forum, i post e i commenti di YouTube così come i siti di download di software non affidabili”, sottolinea Iezzi: “La peculiarità di quest’ultima evoluzione Purple Fox, ovvero il suo nuovo installer accompagnato da Telegram, è il fatto che la parte dannosa dell’installazione è fatta separatamente in diversi piccoli file. Questo rende il malware più difficile da rilevare e rende più facile per i suoi autori sostituire le parti che hanno un alto tasso di rilevamento“.
L’esperto di cyber security mette in evidenza: “Riuscendo a disabilitare la funzionalità di User Account Control (UAC, la funzione di Windows che gestisce i permessi dei singoli utenti della macchina in modo da impedire ai non autorizzati l’esecuzione di software dannoso o il danneggiamento di dati o di componenti del sistema), Purple Fox è in grado di essere il tramite per il download e l’esecuzione di altri malware o botnet.”
I dettagli del malware Purple Fox
Minerva Labs ha pubblicato una ricerca in cui descrive la catena di attacco di Purple Fox, differente dalle solite intrusioni che si avvantaggiano di software legittimi per distribuire payload malevoli.
“Gli attori di questa minaccia sono in grado di nascondere il grosso dell’attacco sotto i radar, separando l’attacco in una serie di file, la maggior parte dei quali, catalogati a basso tasso di rilevamento, viene ignorata dai motori degli antivirus. La fase finale consiste nell’infettare i sistemi col rootkit Purple Fox“, ha spiegato il ricercatore di sicurezza Natalie Zargarov.
Il malware ha funzionalità rootkit ed è quindi in grado di consentire ai criminal hacker di controllare a distanza un PC, “comandare” il computer fino a minacciare l’integrità dei sistemi, la privacy dei dati e altre informazioni personali.
Infatti, Purple Fox è un malware che può bypassare le soluzioni di sicurezza per non essere rilevato. Un report del marzo 2021, rilasciato da Guardicore, rendeva noti dettagli sulle capacità da parte di Purple Fox di propagarsi in stile worm, attivando backdoor per diffondersi più rapidamente.
La nuova catena di attacco, osservata da Minerva, parte da un file installer di Telegram, uno script AutoIt che rilascia un installer legittimo dell’app di chat e un downloader malevole chiamato “TextInputh.exe,” l’ultimo dei quali è eseguito per recuperare il malware dai C2 server per i prossimi passo.
Successivamente, i file di download procedono a bloccare i processi associati con differenti motori di antivirus, prima di passare alla fase finale che consiste nel download e nell’esecuzione del rootkit Purple Fox da un server remoto.
I precedenti di Purple Fox
Purple Fox è apparso per la prima volta nel 2018. Nell’ottobre 2021, i ricercatori di Trend Micro avevano già scoperto FoxSocket, basato su .NET, che, insieme con Purple Fox, poteva trarre vantaggio da WebSockets per contattare i server command-and-control (C2) per stabilire comunicazioni sicure. Altro avvistamento era avvenuto nello scorso dicembre.
Come difendersi da rootkit e app trojanizzate
“Come difendersi? Non c’è bisogno di dirlo, ma Telegram va scaricato solo e unicamente dagli store ufficiali o dal sito stesso dell’app di Instant messaging”, mette in guardia Pierguido Iezzi: “Una regola d’oro che vale per tutti i software e le app, ma che spesso ancora non viene seguita dagli utenti”.
Ricordiamo, inoltre, che bisogna sempre evitare di effettuare il download di applicazioni e software da link inviati via e-mail o condivisi su Internet e nei post social. È necessario scaricare applicazioni dai marketplace ufficiali, mentre conviene anche confrontare l’hash dell’app scaricata con quello reso pubblico dal vendor di software.
La presenza di un rootkit come Purple Fox, in genere, si riconosce a causa del rallentamento del computer o della navigazione su Internet. Questi sono segnali che la macchina sta eseguendo compiti o trasmissioni dati “in parallelo” alle consuete operazioni effettuate dall’utente: il rallentamento è un sintomo dell’infezione, insieme ad altri cambiamenti nelle impostazioni del sistema o installazioni non previste di software.
