Forskere advarer mot Purple Fox Rootkit Nestet i falske Telegram-installatører
Tidligere denne uken oppdaget forskere med det israelske sikkerhetsselskapet Minerva Labs en ny kampanje som distribuerer Purple Fox rootkit. Denne gangen skjuler trusselaktørene bak kampanjen skadelig programvare i falske Telegram-stasjonære klientinstallatører, og gjør det rimelig bra, ifølge forskningen.
Purple Fox utvikler seg igjen
Purple Fox malware gikk gjennom flere iterasjoner og endringer i løpet av årene. Skadevaren ble oppdaget som filløs skadelig programvare med en rootkit-nyttelast for noen år siden, og den brukte forskjellige spredningsteknikker over tid. Disse varierte fra tillegg av ormlignende funksjoner og bakdørsfunksjonalitet til forsøk på servermeldingsblokkering av brute force-angrep.
I denne siste kampanjen har Minerva Labs undersøkt det ondsinnede installasjonsprogrammet Telegram desktop.exe. Teamet fant ut at den kjørbare var egentlig et skript kompilert ved hjelp av AutoIt - et gratisprogram som opprinnelig ble brukt for automatisering i Windows-programvare.
Det første trinnet i angrepet er skriptet som lager en ny "TextInputh"-mappe på offerets harddisk, som ligger under %localappdata%, i Temp-mappen. I den mappen er et legitimt Telegram-installasjonsprogram distribuert, men aldri utført, sammen med en skadelig programvare som heter TextInputh.exe.
Ved kjøring lager den nedlastede en ny katalog under Users\Public\Videos\ og gir den en numerisk streng som et navn. En komprimert .rar-fil og et legitimt 7zip-dekompresjonsverktøy lastes deretter ned til den nye mappen, gjennom den kjørbare TextInputh-filen, som kontakter skadevareprogrammets C2-servere.
Den komprimerte filen inneholder en kjørbar fil, en DLL-fil og en svchost.txt-fil. Den kjørbare filen brukes til å laste DLL-en, som igjen leser txt-filen. .txt-filen brukes til ytterligere registerkontroller og distribusjon av ytterligere skadelige filer.
Flyr under radaren
I følge Minerva er denne fragmenterte tilnærmingen med flere filer, som også går gjennom et stort antall trinn, det som tillot denne kampanjen å fly relativt lavt under radaren og unnvike deteksjon i noen tid. De enkelte filene som brukes i infeksjonskjeden har svært lave deteksjonsrater, noe som bidro til kampanjens suksess. Ifølge forskere er de forskjellige fragmenterte filene "ubrukelige" alene, men fungerer når hele settet er satt sammen.