Tutkijat varoittavat Purple Fox Rootkitistä, joka sijaitsee valesähköpostiasentajissa

Aiemmin tällä viikolla israelilaisen turvallisuusyrityksen Minerva Labsin tutkijat löysivät uuden kampanjan, joka jakaa Purple Fox -rootkit. Tällä kertaa kampanjan takana olevat uhkatekijät piilottavat haittaohjelman väärennetyissä Telegram-työpöytäasennusohjelmissa ja tekevät sen tutkimuksen mukaan kohtuullisen hyvin.

Purple Fox kehittyy jälleen

Purple Fox -haittaohjelma kävi läpi useita iteraatioita ja muutoksia vuosien varrella. Muutama vuosi sitten tiedostottomina haittaohjelmina, joissa oli rootkit-hyötykuorma, löydetty haittaohjelma käytti ajan mittaan erilaisia levitystekniikoita. Ne vaihtelivat madon kaltaisten ominaisuuksien ja takaoven toiminnallisuuden lisäämisestä palvelimen viestien estoon raa'an voiman hyökkäyksiin.

Tässä uusimmassa kampanjassa Minerva Labs on tutkinut Telegram desktop.exe -nimisen haitallisen asennusohjelman. Tiimi havaitsi, että suoritettava tiedosto oli todellakin skripti, joka oli koottu AutoItillä - ilmaisohjelmakielellä, jota alun perin käytettiin automaatioon Windows-ohjelmistoissa.

Hyökkäyksen ensimmäinen vaihe on komentosarja, joka tekee uuden "TextInputh"-kansion uhrin kiintolevylle, joka sijaitsee %localappdata%, Temp-kansiossa. Tässä kansiossa laillinen Telegram-asennusohjelma otetaan käyttöön, mutta sitä ei koskaan suoriteta, sekä haittaohjelmien latausohjelma nimeltä TextInputh.exe.

Suorittaessaan ladattu luo uuden hakemiston kohtaan Käyttäjät\Julkinen\Videos\ ja antaa sille nimeksi numeerisen merkkijonon. Pakattu .rar-tiedosto ja laillinen 7zip-purkutyökalu ladataan sitten uuteen kansioon TextInputh-suoritustiedoston kautta, joka ottaa yhteyttä haittaohjelman C2-palvelimiin.

Pakattu tiedosto sisältää suoritettavan tiedoston, DLL-tiedoston ja svchost.txt-tiedoston. Suoritettavaa tiedostoa käytetään DLL:n lataamiseen, joka puolestaan lukee txt-tiedoston. .txt-tiedostoa käytetään lisärekisterin tarkistuksiin ja muiden haitallisten tiedostojen käyttöönottoon.

Lentäminen tutkan alla

Minervan mukaan tämä hajanainen, monitiedostoinen lähestymistapa, joka myös käy läpi useita vaiheita, on se, mikä mahdollisti tämän kampanjan lentää suhteellisen matalalla tutkan ja väistämisen havaitsemisen alla jonkin aikaa. Tartuntaketjussa käytetyillä yksittäisillä tiedostoilla on erittäin alhainen havaitsemisprosentti, mikä vaikutti kampanjan menestykseen. Tutkijoiden mukaan erilaiset hajanaiset tiedostosarjat ovat "hyödyttomia" sinänsä, mutta toimivat, kun koko joukko kootaan.