Badacze ostrzegają przed rootkitem Purple Fox zagnieżdżonym w instalatorach fałszywych telegramów

Na początku tego tygodnia badacze z izraelskiej firmy ochroniarskiej Minerva Labs odkryli nową kampanię rozpowszechniającą rootkita Purple Fox. Tym razem cyberprzestępcy stojący za kampanią ukrywają złośliwe oprogramowanie w fałszywych instalatorach klienta Telegram i robią to całkiem dobrze, jak wynika z badań.

Fioletowy lis ewoluuje po raz kolejny

Szkodnik Purple Fox przeszedł kilka iteracji i zmian na przestrzeni lat. Odkryte kilka lat temu jako bezplikowe złośliwe oprogramowanie z ładunkiem typu rootkit, z czasem wykorzystywało różne techniki propagacji. Obejmowały one od dodania możliwości robaka i funkcjonalności backdoora po próby blokowania wiadomości z serwera ataków brute force.

W tej najnowszej kampanii Minerva Labs zbadał szkodliwy instalator o nazwie Telegram desktop.exe. Zespół odkrył, że plik wykonywalny był w rzeczywistości skryptem skompilowanym przy użyciu AutoIt - darmowego języka początkowo używanego do automatyzacji w oprogramowaniu Windows.

Pierwszym krokiem ataku jest skrypt tworzący nowy folder „TextInputh" na dysku twardym ofiary, znajdującym się w %localappdata%, w folderze Temp. W tym folderze wdrażany jest legalny instalator Telegrama, ale nigdy nie jest wykonywany, wraz z programem do pobierania złośliwego oprogramowania o nazwie TextInputh.exe.

Po wykonaniu pobrany tworzy nowy katalog w Users\Public\Videos\ i nadaje mu ciąg liczbowy jako nazwę. Skompresowany plik .rar i legalne narzędzie do dekompresji 7zip są następnie pobierane do nowego folderu za pośrednictwem pliku wykonywalnego TextInputh, który kontaktuje się z serwerami C2 szkodliwego oprogramowania.

Skompresowany plik zawiera plik wykonywalny, plik DLL i plik svchost.txt. Plik wykonywalny służy do ładowania biblioteki DLL, która z kolei odczytuje plik txt. Plik .txt służy do dalszego sprawdzania rejestru i wdrażania dodatkowych złośliwych plików.

Latanie pod radarem

Według Minervy to fragmentaryczne, wieloplikowe podejście, które również przechodzi przez wiele etapów, pozwoliło tej kampanii latać stosunkowo nisko pod radarem i wykrywać uniki przez jakiś czas. Poszczególne pliki wykorzystywane w łańcuchu infekcji mają bardzo niskie współczynniki wykrywalności, co przyczyniło się do sukcesu kampanii. Według naukowców różne pofragmentowane zestawy plików są same w sobie „bezużyteczne", ale działają, gdy cały zestaw jest złożony.