Raziskovalci opozarjajo na Rootkit Purple Fox, ugnezden v lažne namestitvene programe Telegrama
V začetku tega tedna so raziskovalci izraelskega varnostnega podjetja Minerva Labs odkrili novo kampanjo, ki distribuira rootkit Purple Fox. Tokrat akterji groženj, ki stojijo za kampanjo, skrivajo zlonamerno programsko opremo v lažnih namestitvenih programih za namizne odjemalce Telegram in to po raziskavi počnejo razmeroma dobro.
Purple Fox se spet razvija
Zlonamerna programska oprema Purple Fox je skozi leta doživela več ponovitev in sprememb. Zlonamerna programska oprema, ki je bila pred nekaj leti odkrita kot zlonamerna programska oprema brez datotek s koristnim obremenitvijo rootkita, je sčasoma uporabljala različne tehnike širjenja. Te so segale od dodajanja črvasto podobnih zmožnosti in funkcionalnosti zakulisja do poskusov brute force blokiranja sporočil strežnika.
V tej zadnji kampanji je Minerva Labs preučil zlonamerni namestitveni program Telegram desktop.exe. Ekipa je ugotovila, da je bila izvedljiva datoteka res skript, sestavljen z uporabo AutoIt - brezplačnega jezika, ki se je sprva uporabljal za avtomatizacijo v programski opremi Windows.
Prvi korak napada je skript, ki ustvari novo mapo "TextInputh" na trdem disku žrtve, ki se nahaja pod %localappdata%, v mapi Temp. V tej mapi je nameščen zakoniti namestitveni program Telegrama, ki pa se nikoli ne izvede, skupaj z prenosnikom zlonamerne programske opreme TextInputh.exe.
Po izvedbi preneseno ustvari nov imenik pod Users\Public\Videos\ in mu dodeli številski niz kot ime. Stisnjena datoteka .rar in zakonito orodje za dekompresijo 7zip se nato preneseta v novo mapo prek izvedljive datoteke TextInputh, ki vzpostavi stik s strežniki C2 zlonamerne programske opreme.
Stisnjena datoteka vsebuje izvedljivo datoteko, datoteko DLL in datoteko svchost.txt. Izvedljiva datoteka se uporablja za nalaganje DLL, ki nato bere datoteko txt. Datoteka .txt se uporablja za nadaljnja preverjanja registra in uvajanje dodatnih zlonamernih datotek.
Letenje pod radarjem
Po besedah Minerve je ta razdrobljen pristop z več datotekami, ki gre tudi skozi veliko število korakov, tisto, kar je tej kampanji omogočilo, da je nekaj časa letela relativno nizko pod radarjem in se izmikala zaznavanju. Posamezne datoteke, ki se uporabljajo v verigi okužbe, imajo zelo nizko stopnjo odkrivanja, kar je prispevalo k uspehu kampanje. Po mnenju raziskovalcev so različni razdrobljeni nabori datotek sami po sebi "neuporabni", vendar delujejo, ko je celoten niz sestavljen.