Un rootkit bien connu – un virus qui s’intègre secrètement dans le système et le contrôle, ou vole des données personnelles – les pirates de Purple Fox ont commencé à se déguiser en installateurs officiels du messager Telegram. C’est ce qu’ont raconté les spécialistes de la société Minerva Labs, spécialisée dans la cybersécurité.
Lorsque le programme d’installation n’est pas téléchargé depuis le site officiel, mais depuis des tiers, un script spécial peut y être « attaché », qui télécharge l’exécutable malveillant TextInputh.exe avec lui. Après cela, le virus se décompose en petits fragments, qui ne permettent pas aux programmes antivirus de les détecter.
« Les cybercriminels ont réussi à cacher leurs cyberattaques aux regards indiscrets, car ils ont divisé la charge malveillante en plusieurs petits fichiers, dont la plupart sont à peine détectés par les moteurs antivirus. La dernière étape de ces attaques se traduit par l’installation du rootkit Purple Fox sur le système de la victime. Les capacités du rootkit aident le malware à agir de manière moins visible. Par exemple, Purple Fox peut rester plus longtemps dans le système d’exploitation de la victime, et pendant ce temps, il est tout à fait capable d’installer des logiciels malveillants supplémentaires », ont averti les experts.