Изследователите предупреждават за руткит на Purple Fox, вложен във фалшиви инсталатори на Telegram

По-рано тази седмица изследователи от израелската компания за сигурност Minerva Labs откриха нова кампания, която разпространява руткита Purple Fox. Този път заплахите, които стоят зад кампанията, крият злонамерения софтуер във фалшиви инсталатори на настолни клиенти на Telegram и го правят сравнително добре, според проучването.

Purple Fox еволюира отново

Зловредният софтуер Purple Fox премина през няколко итерации и промени през годините. Открит като безфайлов злонамерен софтуер с полезен товар на руткит преди няколко години, зловредният софтуер използва различни техники за разпространение във времето. Те варираха от добавяне на червеи и функции на бекдор до опит за атаки с груба сила за блокиране на съобщения на сървъра.

В тази най-нова кампания Minerva Labs проучи злонамерения инсталатор на име Telegram desktop.exe. Екипът установи, че изпълнимият файл наистина е скрипт, компилиран с помощта на AutoIt - безплатен език, първоначално използван за автоматизация в софтуера на Windows.

Първата стъпка от атаката е скриптът, който създава нова папка "TextInputh" на твърдия диск на жертвата, намираща се под %localappdata%, в папката Temp. В тази папка се разполага легитимен инсталатор на Telegram, но никога не се изпълнява, заедно с програма за изтегляне на зловреден софтуер на име TextInputh.exe.

След изпълнение, изтегленото създава нова директория под Users\Public\Videos\ и й дава числов низ като име. След това компресиран .rar файл и легитимен инструмент за декомпресия 7zip се изтеглят в новата папка чрез изпълнимия файл TextInputh, който се свързва със сървърите C2 на злонамерения софтуер.

Компресираният файл съдържа изпълним файл, DLL файл и svchost.txt файл. Изпълнимият файл се използва за зареждане на DLL, който от своя страна чете txt файла. Файлът .txt се използва за по-нататъшни проверки на системния регистър и разгръщане на допълнителни злонамерени файлове.

Летене под радара

Според Минерва този фрагментиран подход с множество файлове, който също преминава през голям брой стъпки, е това, което позволи на тази кампания да лети сравнително ниско под радара и да избягва откриването за известно време. Отделните файлове, използвани във веригата на заразяване, имат много ниски нива на откриване, което допринесе за успеха на кампанията. Според изследователите различните фрагментирани набори от файлове са "безполезни" сами по себе си, но работят, когато целият набор е сглобен.