연구원들은 가짜 텔레그램 설치 프로그램에 중첩된 Purple Fox 루트킷에 대해 경고합니다.

이번 주 초 이스라엘 보안 회사인 Minerva Labs의 연구원들은 Purple Fox 루트킷을 배포하는 새로운 캠페인을 발견했습니다. 이번에는 캠페인 배후의 위협 행위자가 가짜 텔레그램 데스크톱 클라이언트 설치 프로그램에 멀웨어를 숨기고 있으며 이를 합리적으로 잘 수행하고 있다고 연구 결과가 나와 있습니다.

보라색 여우가 다시 진화하다

Purple Fox 맬웨어 는 수년에 걸쳐 여러 번의 반복과 변경을 거쳤습니다. 몇 년 전 루트킷 페이로드가 포함된 파일리스 멀웨어로 발견된 멀웨어는 시간이 지남에 따라 다양한 전파 기술을 사용했습니다. 그 범위는 웜과 유사한 기능 및 백도어 기능의 추가에서 서버 메시지 차단 무차별 대입 공격 시도에 이르기까지 다양합니다.

이 최신 캠페인에서 Minerva Labs는 Telegram desktop.exe라는 악성 설치 프로그램을 조사했습니다. 팀은 실행 파일이 처음에 Windows 소프트웨어의 자동화에 사용된 프리웨어 언어인 AutoIt을 사용하여 컴파일된 스크립트임을 발견했습니다.

공격의 첫 번째 단계는 Temp 폴더의 %localappdata% 아래에 있는 피해자의 하드 드라이브에 새로운 "TextInputh" 폴더를 만드는 스크립트입니다. 해당 폴더에 합법적인 Telegram 설치 프로그램이 배포되지만 TextInputh.exe라는 맬웨어 다운로더와 함께 실행되지 않습니다.

실행 시 다운로드된 파일은 Users\Public\Videos\ 아래에 새 디렉터리를 만들고 이름으로 숫자 문자열을 제공합니다. 그런 다음 압축된 .rar 파일과 합법적인 7zip 압축 해제 도구가 TextInputh 실행 파일을 통해 새 폴더로 다운로드되어 악성코드의 C2 서버에 연결됩니다.

압축 파일에는 실행 파일, DLL 파일 및 svchost.txt 파일이 포함되어 있습니다. 실행 파일은 DLL을 로드하는 데 사용되며 DLL은 차례로 txt 파일을 읽습니다. .txt 파일은 추가 레지스트리 검사 및 추가 악성 파일 배포에 사용됩니다.

레이더 아래에서 비행

Minerva에 따르면 이 단편화된 다중 파일 접근 방식은 많은 단계를 거쳤기 때문에 이 캠페인이 한동안 레이더 아래에서 상대적으로 낮게 비행하고 탐지를 회피할 수 있었습니다. 감염 체인에 사용된 개별 파일의 탐지율이 매우 낮아 캠페인의 성공에 기여했습니다. 연구원에 따르면 서로 다른 조각난 파일 세트는 그 자체로는 "쓸모없지만" 전체 세트가 결합될 때 작동합니다.