Исследователи предупреждают о рутките Purple Fox, вложенном в поддельные установщики Telegram

Ранее на этой неделе исследователи израильской компании по обеспечению безопасности Minerva Labs обнаружили новую кампанию по распространению руткита Purple Fox. Согласно исследованию, на этот раз злоумышленники, стоящие за кампанией, скрывают вредоносное ПО в поддельных установщиках настольных клиентов Telegram и делают это достаточно хорошо.

Purple Fox снова эволюционирует

Вредоносная программа Purple Fox за эти годы претерпела несколько итераций и изменений. Обнаруженное как бесфайловое вредоносное ПО с полезной нагрузкой руткита несколько лет назад, вредоносное ПО с течением времени использовало различные методы распространения. Они варьировались от добавления червеобразных возможностей и функций бэкдора до попыток атак грубой силы на блокировку сообщений сервера.

В рамках этой последней кампании Minerva Labs проверила вредоносный установщик Telegram desktop.exe. Команда обнаружила, что исполняемый файл на самом деле был сценарием, скомпилированным с использованием AutoIt - бесплатного языка, который изначально использовался для автоматизации в программном обеспечении Windows.

Первым шагом атаки является сценарий, создающий новую папку «TextInputh» на жестком диске жертвы, расположенную в% localappdata% в папке Temp. В этой папке развернут законный установщик Telegram, но он не запускается, а также загрузчик вредоносного ПО с именем TextInputh.exe.

После выполнения загруженный создает новый каталог в Users \ Public \ Videos \ и дает ему числовую строку в качестве имени. Сжатый файл .rar и законный инструмент распаковки 7zip затем загружаются в новую папку через исполняемый файл TextInputh, который связывается с серверами C2 вредоносной программы.

Сжатый файл содержит исполняемый файл, файл DLL и файл svchost.txt. Исполняемый файл используется для загрузки библиотеки DLL, которая, в свою очередь, читает текстовый файл. Файл .txt используется для дальнейших проверок реестра и развертывания дополнительных вредоносных файлов.

Полет под радаром

По словам Минервы, этот фрагментированный, многофайловый подход, который также проходит через большое количество этапов, - это то, что позволило этой кампании в течение некоторого времени пролетать относительно низко под радаром и уклоняться от обнаружения. Отдельные файлы, используемые в цепочке заражения, имеют очень низкий уровень обнаружения, что способствовало успеху кампании. По мнению исследователей, различные фрагментированные наборы файлов «бесполезны» сами по себе, но работают, когда собран весь набор.