Pesquisadores Alertam sobre o Rootkit Purple Fox Aninhado em Falsos Instaladores do Telegram
No início desta semana, os pesquisadores da empresa de segurança israelense Minerva Labs descobriram uma nova campanha que está distribuindo o rootkit Purple Fox. Desta vez, os autores da ameaça por trás da campanha estão escondendo o malware em falsos instaladores de cliente de desktop do Telegram, e fazendo isso razoavelmente bem, de acordo com a pesquisa.
O Purple Fox Evolui Mais Uma Vez
O malware Purple Fox passou por várias iterações e mudanças ao longo dos anos. Descoberto como um malware sem arquivo com uma carga de rootkit alguns anos atrás, o malware usou várias técnicas de propagação ao longo do tempo. Isso variou desde a adição de recursos semelhantes as de um worm e funcionalidade de backdoor até tentativas de ataques de força bruta de bloqueio de mensagens do servidor.
Nesta última campanha, o Minerva Labs examinou o instalador malicioso chamado Telegram desktop.exe. A equipe descobriu que o executável era na verdade um script compilado usando o AutoIt - uma linguagem freeware inicialmente usada para automação em software do Windows.
A primeira etapa do ataque é o script criando uma nova pasta "TextInputh" no disco rígido da vítima, localizada no %localappdata%, na pasta Temp. Nessa pasta, um instalador legítimo do Telegram é implantado, mas nunca executado, junto com o downloader de um malware chamado TextInputh.exe.
Após a execução, o download cria um novo diretório no Users\Public\Videos\ e atribui a ele uma string numérica como nome. Um arquivo .rar compactado e uma ferramenta de descompressão 7zip legítima são baixados na nova pasta, por meio do executável TextInputh, que entra em contato com os servidores C2 do malware.
O arquivo compactado contém um executável, um arquivo DLL e um arquivo svchost.txt. O executável é usado para carregar a DLL, que por sua vez lê o arquivo txt. O arquivo .txt é usado para verificações de registro adicionais e implantação de arquivos maliciosos adicionais.
Voando sob o Radar
De acordo com a Minerva, essa abordagem fragmentada e de múltiplos arquivos, que também passa por um grande número de etapas, é o que permitiu que essa campanha voasse relativamente abaixo do radar e se esquivasse da detecção por algum tempo. Os arquivos individuais usados na cadeia de infecção têm taxas de detecção muito baixas, o que contribuiu para o sucesso da campanha. De acordo com os pesquisadores, os diferentes conjuntos fragmentados de arquivos são "inúteis" por si próprios, mas funcionam quando todo o conjunto é montado.