De operators van de Purple Fox-malware hebben hun malware-arsenaal omgebouwd met een nieuwe variant van een trojan voor externe toegang genaamd FatalRAT, terwijl ze tegelijkertijd hun ontwijkingsmechanismen upgraden om beveiligingssoftware te omzeilen.
“De machines van gebruikers worden aangevallen via getrojaanse softwarepakketten die zich voordoen als legitieme applicatie-installatieprogramma’s”, onderzoekers van Trend Micro. zei in een rapport gepubliceerd op 25 maart 2022. “De installatieprogramma’s worden actief online verspreid om gebruikers te misleiden en de algehele botnet-infrastructuur te vergroten.”
De bevindingen volgen op eerder onderzoek van Minerva Labs dat licht werpt op een vergelijkbare modus operandi van het gebruik van frauduleuze Telegram-applicaties om de achterdeur te verspreiden. Andere vermomde software-installatieprogramma’s zijn WhatsApp, Adobe Flash Player en Google Chrome.
Deze pakketten fungeren als een first-stage loader, die een infectiesequentie in gang zet die leidt tot de inzet van een second-stage payload van een externe server en culmineert in de uitvoering van een binair bestand dat zijn functies erft van FatalRAT.
FatalRAT is een op C++ gebaseerd implantaat dat is ontworpen om opdrachten uit te voeren en gevoelige informatie terug naar een externe server te exfiltreren, waarbij de malware-auteurs de achterdeur stapsgewijs bijwerken met nieuwe functionaliteit.
“De RAT is verantwoordelijk voor het laden en uitvoeren van de hulpmodules op basis van controles die zijn uitgevoerd op de slachtoffersystemen”, aldus de onderzoekers. “Veranderingen kunnen gebeuren indien specifiek [antivirus] agents actief zijn of als registersleutels worden gevonden. De hulpmodules zijn bedoeld als ondersteuning van de specifieke doelstellingen van de groep.”
Bovendien biedt Purple Fox, dat wordt geleverd met een rootkit-module, ondersteuning voor vijf verschillende opdrachten, waaronder het kopiëren en verwijderen van bestanden uit de kernel en het ontwijken van antivirus-engines door oproepen naar het bestandssysteem te onderscheppen.
De bevindingen volgen ook op recente onthullingen van cyberbeveiligingsbedrijf Avast, waarin een nieuwe campagne werd beschreven waarbij het exploitatiekader van Purple Fox fungeerde als een implementatiekanaal voor een ander botnet genaamd DirtyMoe.
“Exploitanten van het Purple Fox-botnet zijn nog steeds actief en updaten hun arsenaal consequent met nieuwe malware, terwijl ze ook de malwarevarianten die ze hebben upgraden”, aldus de onderzoekers. “Ze proberen ook hun ondertekende rootkit-arsenaal te verbeteren voor [antivirus] ontduiking en proberen detectiemechanismen te omzeilen door ze te targeten met aangepaste ondertekende kernelstuurprogramma’s.”
