Группировка Purple Fox использовала новый вариант FatalRAT в ходе кибератак

Операторы вредоносного ПО Purple Fox дополнили свой арсенал новым вариантом трояна для удаленного доступа под названием FatalRAT, а также обновили свои методы методы обхода антивирусных решений, сообщает SecurityLab.

По словам исследователей из Trend Micro, преступники атакуют пользователей, распространяя троянизированное ПО, замаскированное под легитимные программы, включая Telegram, WhatsApp, Adobe Flash Player и Google Chrome.

Установщики запускают последовательность заражения, которая приводит к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла с функциями FatalRAT.

FatalRAT — бэкдор, написанный на языке C++ и предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер. Разработчики вредоноса постепенно обновляют бэкдор новыми функциями.

Purple Fox поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также обход антивирусных ядер путем перехвата вызовов, отправляемых в файловую систему.