Výzkumníci varují před rootkitem Purple Fox vnořeným do falešných telegramů

Začátkem tohoto týdne objevili výzkumníci z izraelské bezpečnostní společnosti Minerva Labs novou kampaň, která distribuuje rootkit Purple Fox. Tentokrát aktéři hrozeb stojící za kampaní skrývají malware ve falešných instalátorech desktopových klientů Telegram a podle výzkumu to dělají poměrně dobře.

Purple Fox se znovu vyvíjí

Malware Purple Fox prošel v průběhu let několika iteracemi a změnami. Malware, který byl před několika lety objeven jako bezsouborový malware s užitečným zatížením rootkitu, v průběhu času používal různé techniky šíření. Ty sahaly od přidání červích schopností a funkcí zadních vrátek až po pokusy o blokování serverových zpráv o útoky hrubou silou.

V této nejnovější kampani Minerva Labs zkoumala škodlivý instalační program s názvem Telegram desktop.exe. Tým zjistil, že spustitelný soubor byl ve skutečnosti skript zkompilovaný pomocí AutoIt - freewarového jazyka původně používaného pro automatizaci v softwaru Windows.

Prvním krokem útoku je skript, který vytvoří novou složku „TextInputh" na pevném disku oběti, která se nachází pod %localappdata%, ve složce Temp. V této složce je nasazen legitimní instalační program telegramu, ale nikdy se nespustí, spolu s programem pro stahování malwaru s názvem TextInputh.exe.

Po spuštění vytvoří stažený adresář nový adresář Users\Public\Videos\ a přidělí mu číselný řetězec jako název. Zkomprimovaný soubor .rar a legitimní dekompresní nástroj 7zip jsou poté staženy do nové složky prostřednictvím spustitelného souboru TextInputh, který kontaktuje servery C2 malwaru.

Komprimovaný soubor obsahuje spustitelný soubor, soubor DLL a soubor svchost.txt. Spustitelný soubor se používá k načtení knihovny DLL, která zase přečte soubor txt. Soubor .txt se používá pro další kontroly registru a nasazování dalších škodlivých souborů.

Létání pod radarem

Podle Minervy tento roztříštěný, vícesouborový přístup, který také prochází velkým počtem kroků, umožnil této kampani letět relativně nízko pod radarem a nějakou dobu se vyhýbat detekci. Jednotlivé soubory používané v infekčním řetězci mají velmi nízkou míru detekce, což přispělo k úspěchu kampaně. Podle výzkumníků jsou různé fragmentované sady souborů samy o sobě „nepoužitelné", ale fungují, když je celá sada poskládána.