Onderzoekers waarschuwen voor Purple Fox Rootkit genesteld in valse Telegram-installatieprogramma's
Eerder deze week ontdekten onderzoekers van het Israëlische beveiligingsbedrijf Minerva Labs een nieuwe campagne die de Purple Fox-rootkit verspreidt. Deze keer verbergen de bedreigingsactoren achter de campagne de malware in valse Telegram-desktopclientinstallatieprogramma's, en doen dit redelijk goed, volgens het onderzoek.
Purple Fox evolueert opnieuw
De Purple Fox-malware heeft in de loop der jaren verschillende iteraties en veranderingen ondergaan. Een paar jaar geleden ontdekt als bestandsloze malware met een rootkit-payload, gebruikte de malware in de loop van de tijd verschillende verspreidingstechnieken. Die varieerden van de toevoeging van wormachtige mogelijkheden en backdoor-functionaliteit tot pogingen om brute force-aanvallen op serverberichten te blokkeren.
In deze laatste campagne heeft Minerva Labs het kwaadaardige installatieprogramma Telegram desktop.exe onderzocht. Het team ontdekte dat het uitvoerbare bestand eigenlijk een script was dat was gecompileerd met AutoIt - een freeware-taal die aanvankelijk werd gebruikt voor automatisering in Windows-software.
De eerste stap van de aanval is het script dat een nieuwe map "TextInputh" maakt op de harde schijf van het slachtoffer, onder %localappdata%, in de map Temp. In die map wordt een legitiem Telegram-installatieprogramma geïmplementeerd, maar nooit uitgevoerd, samen met een malware-downloader genaamd TextInputh.exe.
Na uitvoering maakt het gedownloade bestand een nieuwe map aan onder Gebruikers\Openbaar\Video's\ en geeft het een numerieke tekenreeks als naam. Een gecomprimeerd .rar-bestand en een legitieme 7zip-decompressietool worden vervolgens gedownload naar de nieuwe map, via het uitvoerbare bestand TextInputh, dat contact maakt met de C2-servers van de malware.
Het gecomprimeerde bestand bevat een uitvoerbaar bestand, een DLL-bestand en een svchost.txt-bestand. Het uitvoerbare bestand wordt gebruikt om de DLL te laden, die op zijn beurt het txt-bestand leest. Het .txt-bestand wordt gebruikt voor verdere registercontroles en het implementeren van aanvullende kwaadaardige bestanden.
Vliegen onder de radar
Volgens Minerva is het deze gefragmenteerde, multi-file-aanpak die ook een groot aantal stappen doorloopt, waardoor deze campagne een tijdje relatief laag onder de radar kon vliegen en detectie kon ontwijken. De afzonderlijke bestanden die in de infectieketen worden gebruikt, hebben zeer lage detectiepercentages, wat heeft bijgedragen aan het succes van de campagne. Volgens onderzoekers zijn de verschillende gefragmenteerde sets bestanden op zichzelf "nutteloos", maar werken ze wanneer de hele set is samengesteld.