*Malware Purple Fox é distribuído através de instaladores maliciosos do Telegram.
Um instalador malicioso do Telegram para Desktop está distribuindo o malware Purple Fox para instalar outras cargas maliciosas nos dispositivos infectados. O instalador é um script AutoIt compilado chamado "Telegram Desktop.exe" que descarta dois arquivos, um instalador real do Telegram e um downloader malicioso. Enquanto o instalador legítimo do Telegram colocado junto com o downloader não é executado, o programa AutoIT executa o downloader (TextInputh.exe). Após ser executado ele vai coletar informações básicas do sistema, verificar se alguma ferramenta de segurança está sendo executada e, finalmente, enviar tudo isso para um endereço C2 codificado. Assim que o processo de reconhecimento for concluído, o Purple Fox é baixado do C2 na forma de um arquivo .msi que contém o shellcode criptografado para sistemas de 32 e 64 bits. Após a execução do Purple Fox, a máquina infectada será reiniciada para que as novas configurações de registro tenham efeito, o mais importante, o Controle de Conta de Usuário (UAC) será desabilitado.
*Nova vulnerabilidade de negação de serviço chamada 'doorLock' foi descoberta no Apple HomeKit, afetando o iOS 14.7 a 15.2.
O Apple HomeKit é uma estrutura de software que permite aos usuários de iPhone e iPad controlar eletrodomésticos inteligentes a partir de seus dispositivos. De acordo com Trevor Spiniolas, o pesquisador de segurança que divulgou publicamente os detalhes, a Apple sabe da falha desde 10 de agosto de 2021. No entanto, apesar das repetidas promessas de consertá-la, o pesquisador diz que a falha ainda permanece sem solução. O impacto desse ataque varia de ter um dispositivo inutilizável que reinicia indefinidamente até não ser capaz de fazer um backup de seus dados do iCloud, já que o login nos serviços de backup online reativa a falha. Como o pesquisador explica, esse ataque poderia ser usado como um vetor de ransomware, travando dispositivos iOS em um estado inutilizável e exigindo um pagamento de resgate.
*Campanhas maliciosas foram descobertas tirando proveito do Microsoft Build Engine (MSBuild) para executar carga útil do Cobalt Strike.
Campanhas maliciosas foram descobertas tirando proveito do Microsoft Build Engine (MSBuild), o conjunto de ferramentas de compilação de código aberto gerenciado por código C++ nativo e parte do .NET Framework. Os invasores primeiro obtêm acesso ao ambiente de destino com uma conta RDP e, em seguida, usam o Windows Services remoto para movimentação lateral e o MSBuild para executar a carga útil do Cobalt Strike Beacon. O Beacon é empregado para a descriptografia da comunicação criptografada SSL com o servidor C2. A campanha maliciosa recente não é a primeira a abusar do MSBuild, já que o conjunto de ferramentas também foi abusado por vários invasores no passado.
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário