Forskere advarer om Purple Fox Rootkit indlejret i falske telegraminstallatører

Tidligere på ugen opdagede forskere med det israelske sikkerhedsfirma Minerva Labs en ny kampagne, der distribuerer Purple Fox rootkit. Denne gang skjuler trusselsaktørerne bag kampagnen malwaren i falske Telegram-desktopklientinstallatører og gør det rimeligt godt, ifølge forskningen.

Purple Fox udvikler sig igen

Purple Fox malware gennemgik adskillige gentagelser og ændringer gennem årene. Opdaget som filløs malware med en rootkit-nyttelast for et par år siden, brugte malwaren forskellige udbredelsesteknikker over tid. Disse spændte fra tilføjelsen af ormelignende egenskaber og bagdørsfunktionalitet til forsøg på servermeddelelsesblokering af brute force-angreb.

I denne seneste kampagne har Minerva Labs undersøgt det ondsindede installationsprogram ved navn Telegram desktop.exe. Holdet fandt ud af, at den eksekverbare virkelig var et script, der var kompileret ved hjælp af AutoIt - et freeware-sprog, der oprindeligt blev brugt til automatisering i Windows-software.

Det første trin i angrebet er, at scriptet laver en ny "TextInputh"-mappe på ofrets harddisk, placeret under %localappdata%, i Temp-mappen. I den mappe er et legitimt Telegram-installationsprogram installeret, men det udføres aldrig, sammen med en malware-downloader ved navn TextInputh.exe.

Ved udførelse laver den downloadede en ny mappe under Users\Public\Videos\ og giver den en numerisk streng som et navn. En komprimeret .rar-fil og et legitimt 7zip-dekomprimeringsværktøj downloades derefter til den nye mappe via den eksekverbare TextInputh, som kontakter malwarens C2-servere.

Den komprimerede fil indeholder en eksekverbar fil, en DLL-fil og en svchost.txt-fil. Den eksekverbare bruges til at indlæse DLL'en, som igen læser txt-filen. .txt-filen bruges til yderligere kontrol af registreringsdatabasen og implementering af yderligere ondsindede filer.

Flyver under radaren

Ifølge Minerva er denne fragmenterede tilgang med flere filer, der også gennemgår et stort antal trin, det, der gjorde det muligt for denne kampagne at flyve relativt lavt under radaren og undvige detektion i nogen tid. De enkelte filer, der bruges i infektionskæden, har meget lave detektionsrater, hvilket bidrog til kampagnens succes. Ifølge forskere er de forskellige fragmenterede sæt filer "ubrugelige" i sig selv, men fungerer, når hele sættet er sat sammen.