{"id":263829,"date":"2022-03-30T00:15:00","date_gmt":"2022-03-29T22:15:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263829"},"modified":"2022-03-29T15:58:02","modified_gmt":"2022-03-29T13:58:02","slug":"purple-fox-mit-neuem-infektionsvektor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/30\/purple-fox-mit-neuem-infektionsvektor\/","title":{"rendered":"Purple Fox mit neuem Infektionsvektor"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=23890\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein Shortie in Sachen IT-Sicherheit. Trend Micro Research hat einen neuen Blog-Beitrag ver\u00f6ffentlicht, in dem \u00fcber eine neue Malware-Kampagne berichtet wird. Die Betreiber von Purple Fox verwenden aktualisierte Tools und einen neuen Ankunftsvektor, um ihre Opfer zu infizieren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/ade682df40d74f15b29eb7f8309b1c47\" alt=\"\" width=\"1\" height=\"1\" \/>Die Malware bzw. die Gruppe ist seit 2018 bekannt, als \u00fcber 30.000 Opfer infiziert wurden. 2021 konnte Trend Micro Research herausfinden, wie die Malware Krypto-Miner herunterl\u00e4dt und einsetzt. Gleichzeitig konnte beobachtet werden, dass die Gang ihre Infrastruktur weiter verbesserte und gleichzeitig neue Hintert\u00fcren hinzuf\u00fcgte. Nun gibt es wohl neue Erkenntnisse zur Malware und zu neuen Tools, die die Gruppe verwendet.<\/p>\n<p><a href=\"https:\/\/twitter.com\/TrendMicroRSRCH\/status\/1508700483753590788\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/rXcHmft.png\" \/><\/a><\/p>\n<p>In obigem <a href=\"https:\/\/twitter.com\/TrendMicroRSRCH\/status\/1508700483753590788\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> wird auf einen <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/c\/purple-fox-uses-new-arrival-vector-and-improves-malware-arsenal.html?utm_source=trendmicroresearch&amp;utm_medium=smk&amp;utm_campaign=0322_PurpleFox\" target=\"_blank\" rel=\"noopener\">Artikel<\/a> verlinkt, in dem Details \u00fcber den Angriffsweg und die verwendeten Tools beschrieben werden. So wird ein Remote Access-Trojaner FatalRAT eingesetzt. Die Angreifer verbreiten ihre Malware \u00fcber getarnte Softwarepakete, die den First Stage Loader enthalten. Sie verwenden dazu beliebte legitime Anwendungsnamen wie Telegram, WhatsApp, Adobe und Chrome, um ihre b\u00f6sartigen Installationspakete zu verstecken.<\/p>\n<p>Aktuell scheint das Bedrohungspotential f\u00fcr Deutschland noch niedrig, da einige der infizierten Software-Pakete h\u00e4ufig von chinesischen Benutzern verwendet wurden. Die folgende Liste zeigt die k\u00fcrzlich verwendete Software und die entsprechende b\u00f6sartige Nutzlast f\u00fcr die zweite Phase der Infektion. Wie bereits erw\u00e4hnt, werden die verschiedenen Nutzdaten vom C&amp;C bei der Ausf\u00fchrung auf der Grundlage des letzten Zeichens im Dateinamen des Moduls bereitgestellt.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/kGqCbmA.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Purple Fox Loader-Software-Pakete\" src=\"https:\/\/i.imgur.com\/kGqCbmA.png\" alt=\"Purple Fox Loader-Software-Pakete\" width=\"596\" height=\"265\" \/><\/a><\/p>\n<p>Hier kann man Nutzern und Administratoren nur raten, sicherzustellen, dass die Installer-Pakete f\u00fcr benutze Software von den zust\u00e4ndigen Entwicklerfirmen verwendet werden. Gleichzeitig sollte man im Hinterkopf behalten, dass die Hinterm\u00e4nner ihre Schadsoftware st\u00e4ndig weiter entwickeln und die verteilte Malware \u00fcber die C&amp;C-Server h\u00e4ufiger wechseln kann. Daher gilt es, den Downloader abzuwehren, so dass dieser gar nicht auf den Systemen landet, um weitere Malware zu laden und zu installieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein Shortie in Sachen IT-Sicherheit. Trend Micro Research hat einen neuen Blog-Beitrag ver\u00f6ffentlicht, in dem \u00fcber eine neue Malware-Kampagne berichtet wird. Die Betreiber von Purple Fox verwenden aktualisierte Tools und einen neuen Ankunftsvektor, um ihre Opfer zu infizieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263829","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263829","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263829"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263829\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263829"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263829"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263829"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}