تراخيص الأجهزة المتعددة (خصومات كبيرة)
Computer Security الباحثون يحذرون من وجود جذور لـ Purple Fox Rootkit...

الباحثون يحذرون من وجود جذور لـ Purple Fox Rootkit متداخلة في أدوات تثبيت Telegram المزيفة

بواسطة Mura في Computer Security
ترجمة الى:
العربية

في وقت سابق من هذا الأسبوع ، اكتشف باحثون من شركة الأمن الإسرائيلية Minerva Labs حملة جديدة لتوزيع الجذور الخفية Purple Fox. هذه المرة ، يخفي ممثلو التهديد وراء الحملة البرامج الضارة في أدوات تثبيت عميل سطح المكتب Telegram المزيفة ، ويقومون بذلك بشكل جيد إلى حد معقول ، وفقًا للبحث.

الثعلب الأرجواني يتطور مرة أخرى

مرت البرامج الضارة لـ Purple Fox بالعديد من التكرارات والتغييرات على مر السنين. اكتُشفت البرمجيات الخبيثة على أنها برمجيات خبيثة بدون ملفات مع حمولة rootkit قبل بضع سنوات ، واستخدمت تقنيات انتشار مختلفة بمرور الوقت. وتراوحت تلك من إضافة القدرات الشبيهة بالديدان ووظائف الباب الخلفي لمحاولة هجمات القوة الغاشمة لرسائل الخادم.

في هذه الحملة الأخيرة ، قامت Minerva Labs بفحص برنامج التثبيت الضار المسمى Telegram desktop.exe. وجد الفريق أن الملف القابل للتنفيذ كان بالفعل نصًا تم تجميعه باستخدام AutoIt - وهي لغة مجانية مستخدمة في البداية للأتمتة في برامج Windows.

الخطوة الأولى للهجوم هي إنشاء البرنامج النصي لمجلد "TextInputh" جديد على القرص الصلب للضحية ، والموجود ضمن٪ localappdata٪ ، في مجلد Temp. في هذا المجلد ، يتم نشر مُثبِّت Telegram شرعي ، ولكن لم يتم تنفيذه مطلقًا ، جنبًا إلى جنب مع أداة تنزيل البرامج الضارة المسمى TextInputh.exe.

عند التنفيذ ، يُنشئ الدليل الذي تم تنزيله دليلًا جديدًا ضمن Users \ Public \ Videos \ ويعطيه سلسلة رقمية كاسم. يتم بعد ذلك تنزيل ملف مضغوط .rar وأداة شرعية لإلغاء ضغط 7zip في المجلد الجديد ، من خلال ملف TextInputh القابل للتنفيذ ، والذي يتصل بخوادم C2 الخاصة بالبرامج الضارة.

يحتوي الملف المضغوط على ملف قابل للتنفيذ وملف DLL وملف svchost.txt. يتم استخدام الملف التنفيذي لتحميل DLL ، والذي بدوره يقرأ ملف txt. يتم استخدام ملف .txt لإجراء مزيد من عمليات التحقق من السجل ونشر ملفات ضارة إضافية.

تحلق تحت الرادار

وفقًا لمينيرفا ، فإن هذا النهج المجزأ متعدد الملفات والذي يمر أيضًا بعدد كبير من الخطوات ، هو ما سمح لهذه الحملة بالتحليق على ارتفاع منخفض نسبيًا تحت الرادار ومراوغة الاكتشاف لبعض الوقت. الملفات الفردية المستخدمة في سلسلة العدوى لها معدلات اكتشاف منخفضة للغاية ، مما ساهم في نجاح الحملة. وفقًا للباحثين ، فإن مجموعات الملفات المجزأة المختلفة "عديمة الفائدة" من تلقاء نفسها ، ولكنها تعمل عندما يتم تجميع المجموعة بأكملها معًا.

جار التحميل...