शोधकर्ताओं ने नकली टेलीग्राम इंस्टालर में निहित Purple Fox रूटकिट की चेतावनी दी

इस हफ्ते की शुरुआत में, इज़राइली सुरक्षा कंपनी मिनर्वा लैब्स के शोधकर्ताओं ने एक नया अभियान खोजा जो पर्पल फॉक्स रूटकिट वितरित कर रहा है। इस बार, अभियान के पीछे के खतरे वाले अभिनेता नकली टेलीग्राम डेस्कटॉप क्लाइंट इंस्टालर में मैलवेयर छिपा रहे हैं, और शोध के अनुसार इसे काफी अच्छी तरह से कर रहे हैं।

Purple Fox फिर से विकसित होता है

Purple Fox मैलवेयर पिछले कुछ वर्षों में कई पुनरावृत्तियों और परिवर्तनों के माध्यम से चला गया। कुछ साल पहले रूटकिट पेलोड के साथ फाइललेस मैलवेयर के रूप में खोजा गया, मैलवेयर ने समय के साथ विभिन्न प्रसार तकनीकों का उपयोग किया। वे वर्मलाइक क्षमताओं और पिछले दरवाजे की कार्यक्षमता को जोड़ने से लेकर सर्वर संदेश ब्लॉक ब्रूट फोर्स हमलों के प्रयास तक थे।

इस नवीनतम अभियान में, मिनर्वा लैब्स ने टेलीग्राम डेस्कटॉप.एक्सई नामक दुर्भावनापूर्ण इंस्टॉलर की जांच की है। टीम ने पाया कि निष्पादन योग्य वास्तव में AutoIt का उपयोग करके संकलित एक स्क्रिप्ट थी - एक फ्रीवेयर भाषा जो शुरू में विंडोज सॉफ्टवेयर में स्वचालन के लिए उपयोग की जाती थी।

हमले का पहला चरण है स्क्रिप्ट पीड़ित की हार्ड ड्राइव पर एक नया "TextInputh" फ़ोल्डर बनाना, जो Temp फ़ोल्डर में %localappdata% के अंतर्गत स्थित है। उस फ़ोल्डर में, एक वैध टेलीग्राम इंस्टॉलर तैनात किया जाता है, लेकिन कभी भी निष्पादित नहीं किया जाता है, साथ ही TextInputh.exe नामक मैलवेयर डाउनलोडर भी।

निष्पादन पर, डाउनलोड किए गए उपयोगकर्ता \ सार्वजनिक \ वीडियो \ के तहत एक नई निर्देशिका बनाता है और इसे एक नाम के रूप में एक संख्यात्मक स्ट्रिंग देता है। एक संपीड़ित .rar फ़ाइल और एक वैध 7zip डीकंप्रेसन टूल को टेक्स्टइनपूथ निष्पादन योग्य के माध्यम से नए फ़ोल्डर में डाउनलोड किया जाता है, जो मैलवेयर के C2 सर्वर से संपर्क करता है।

संपीड़ित फ़ाइल में एक निष्पादन योग्य, एक DLL फ़ाइल और एक svchost.txt फ़ाइल होती है। निष्पादन योग्य का उपयोग डीएलएल को लोड करने के लिए किया जाता है, जो बदले में txt फ़ाइल को पढ़ता है। .txt फ़ाइल का उपयोग आगे रजिस्ट्री जाँच और अतिरिक्त दुर्भावनापूर्ण फ़ाइलों को परिनियोजित करने के लिए किया जाता है।

रडार के नीचे उड़ान

मिनर्वा के अनुसार, यह खंडित, बहु-फ़ाइल दृष्टिकोण, जो बड़ी संख्या में चरणों से भी गुजरता है, ने इस अभियान को रडार के नीचे अपेक्षाकृत कम उड़ान भरने और कुछ समय के लिए चकमा देने की अनुमति दी। संक्रमण श्रृंखला में उपयोग की जाने वाली अलग-अलग फाइलों में पता लगाने की दर बहुत कम है, जिसने अभियान की सफलता में योगदान दिया। शोधकर्ताओं के अनुसार, फाइलों के अलग-अलग खंडित सेट अपने आप में "बेकार" हैं, लेकिन पूरे सेट को एक साथ रखने पर काम करते हैं।