Licenser för flera enheter (volymrabatter)
Computer Security Forskare varnar för Purple Fox Rootkit kapslade i falska...

Forskare varnar för Purple Fox Rootkit kapslade i falska telegraminstallatörer

Med Mura år Computer Security
Översätt till:
Svenska

Tidigare i veckan upptäckte forskare med det israeliska säkerhetsföretaget Minerva Labs en ny kampanj som distribuerar Purple Fox rootkit. Den här gången gömmer hotaktörerna bakom kampanjen skadlig programvara i falska Telegram-skrivbordsklientinstallatörer och gör det ganska bra, enligt forskningen.

Purple Fox utvecklas ännu en gång

Skadlig programvara Purple Fox gick igenom flera iterationer och förändringar under åren. Skadlig programvara upptäcktes som fillös skadlig programvara med en rootkit-nyttolast för några år sedan och använde olika spridningstekniker över tiden. Dessa sträckte sig från tillägget av maskliknande funktioner och bakdörrsfunktioner till att försöka blockera brute force-attacker med servermeddelanden.

I den senaste kampanjen har Minerva Labs undersökt det skadliga installationsprogrammet som heter Telegram desktop.exe. Teamet fann att den körbara filen verkligen var ett skript som kompilerats med AutoIt - ett gratisprogram som ursprungligen användes för automatisering i Windows-programvara.

Det första steget i attacken är att skriptet skapar en ny "TextInputh"-mapp på offrets hårddisk, som ligger under %localappdata%, i Temp-mappen. I den mappen är ett legitimt Telegram-installationsprogram utplacerat, men det körs aldrig, tillsammans med en skadlig programvara som heter TextInputh.exe.

Vid körning skapar den nedladdade en ny katalog under Users\Public\Videos\ och ger den en numerisk sträng som ett namn. En komprimerad .rar-fil och ett legitimt 7zip-dekomprimeringsverktyg laddas sedan ner till den nya mappen, genom den körbara TextInputh-filen, som kontaktar skadlig programvaras C2-servrar.

Den komprimerade filen innehåller en körbar fil, en DLL-fil och en svchost.txt-fil. Den körbara filen används för att ladda DLL, som i sin tur läser txt-filen. .txt-filen används för ytterligare registerkontroller och för att distribuera ytterligare skadliga filer.

Flyger under radarn

Enligt Minerva är denna fragmenterade, multi-file strategi som också går igenom ett stort antal steg, det som gjorde att denna kampanj kunde flyga relativt lågt under radarn och undvika upptäckt under en tid. De enskilda filerna som används i infektionskedjan har mycket låga upptäcktsfrekvenser, vilket bidrog till kampanjens framgång. Enligt forskare är de olika fragmenterade uppsättningarna av filer "värdelösa" på egen hand, men fungerar när hela uppsättningen sätts ihop.

Läser in...