I ricercatori avvertono del rootkit Purple Fox annidato nei falsi programmi di installazione di Telegram
All'inizio di questa settimana, i ricercatori della società di sicurezza israeliana Minerva Labs hanno scoperto una nuova campagna che distribuisce il rootkit Purple Fox. Questa volta, gli attori delle minacce dietro la campagna nascondono il malware in falsi programmi di installazione del client desktop di Telegram e lo fanno abbastanza bene, secondo la ricerca.
Purple Fox si evolve ancora
Il malware Purple Fox ha subito diverse iterazioni e modifiche nel corso degli anni. Scoperto come malware senza file con un payload rootkit alcuni anni fa, il malware ha utilizzato varie tecniche di propagazione nel tempo. Questi andavano dall'aggiunta di capacità simili a worm e funzionalità backdoor al tentativo di attacchi di forza bruta con blocco dei messaggi del server.
In quest'ultima campagna, Minerva Labs ha esaminato il programma di installazione dannoso chiamato Telegram desktop.exe. Il team ha scoperto che l'eseguibile era in realtà uno script compilato utilizzando AutoIt, un linguaggio freeware inizialmente utilizzato per l'automazione nel software Windows.
Il primo passo dell'attacco è lo script che crea una nuova cartella "TextInputh" sul disco rigido della vittima, che si trova in %localappdata%, nella cartella Temp. In quella cartella, viene distribuito un programma di installazione di Telegram legittimo, ma mai eseguito, insieme a un downloader di malware chiamato TextInputh.exe.
Al momento dell'esecuzione, il download crea una nuova directory in Users\Public\Videos\ e gli assegna una stringa numerica come nome. Un file .rar compresso e uno strumento di decompressione 7zip legittimo vengono quindi scaricati nella nuova cartella, tramite l'eseguibile TextInputh, che contatta i server C2 del malware.
Il file compresso contiene un eseguibile, un file DLL e un file svchost.txt. L'eseguibile viene utilizzato per caricare la DLL, che a sua volta legge il file txt. Il file .txt viene utilizzato per ulteriori controlli del registro e per la distribuzione di ulteriori file dannosi.
Volare sotto il radar
Secondo Minerva, questo approccio frammentato e multi-file che passa anche attraverso un gran numero di passaggi, è ciò che ha permesso a questa campagna di volare relativamente in basso sotto il radar e schivare il rilevamento per qualche tempo. I singoli file utilizzati nella catena di infezione hanno tassi di rilevamento molto bassi, il che ha contribuito al successo della campagna. Secondo i ricercatori, i diversi set di file frammentati sono "inutili" da soli, ma funzionano quando l'intero set viene messo insieme.