Преступники распространяют троянизированное ПО, замаскированное под легитимные программы.
Операторы вредоносного ПО Purple Fox дополнили свой арсенал новым вариантом трояна для удаленного доступа под названием FatalRAT, а также обновили свои методы методы обхода антивирусных решений.
По словам исследователей из Trend Micro, преступники атакуют пользователей, распространяя троянизированное ПО, замаскированное под легитимные программы, включая Telegram, WhatsApp, Adobe Flash Player и Google Chrome.
Установщики запускают последовательность заражения, которая приводит к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла с функциями FatalRAT.
FatalRAT — бэкдор, написанный на языке C++ и предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер. Разработчики вредоноса постепенно обновляют бэкдор новыми функциями.
Purple Fox поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также обход антивирусных ядер путем перехвата вызовов, отправляемых в файловую систему.
Спойлер: мы раскрываем их любимые трюки