“紫狐”黑客在最近的恶意软件攻击中发现使用了FatalRAT的新变种

Purple Fox恶意软件的运营商已使用名为FatalRAT的远程访问特洛伊木马的新变种重新装备了他们的恶意软件库，同时还升级了他们的规避机制，以绕过安全软件。

趋势科技的研究人员在2022年3月25日发布的一份报告中说：“用户的机器通过伪装成合法应用程序安装者的特洛伊木马软件包成为攻击目标”。“安装人员积极在线分发，以欺骗用户并增加整个僵尸网络基础设施。”

密涅瓦实验室此前的研究揭示了利用欺诈性电报应用程序分发后门的类似手法。其他伪装软件安装商包括WhatsApp、Adobe Flash Player和谷歌Chrome。

这些包充当第一阶段加载程序，触发感染序列，导致从远程服务器部署第二阶段有效负载，并最终执行从FatalRAT继承其功能的二进制文件。

FatalRAT是一种基于C++的植入软件，旨在运行命令并将敏感信息过滤回远程服务器，恶意软件作者会使用新功能逐步更新后门。

研究人员说：“RAT负责根据对受害者系统的检查加载和执行辅助模块”。“如果特定的[antivirus]代理正在运行或找到注册表项，则可能会发生更改。辅助模块旨在支持集团的特定目标。”

此外，带有rootkit模块的Purple Fox还支持五种不同的命令，包括从内核复制和删除文件，以及通过拦截发送到文件系统的调用来规避防病毒引擎。

这些发现也是在网络安全公司Avast最近披露的信息之后得出的。Avast详细介绍了一项新的活动，该活动涉及紫狐攻击框架，作为另一个名为DirtyMoe的僵尸网络的部署渠道。

研究人员说：“紫狐僵尸网络的运营商仍然很活跃，并不断用新的恶意软件更新他们的武库，同时也在升级他们拥有的恶意软件变体”。“他们还试图改进他们的签名rootkit武库，以便[防病毒]规避，并试图通过使用定制的签名内核驱动程序来绕过检测机制。”