Araştırmacılar, Sahte Telgraf Yükleyicilerinde Yuvalanmış Mor Tilki Kök Kiti konusunda Uyardı

Bu haftanın başlarında, İsrail güvenlik şirketi Minerva Labs araştırmacıları, Purple Fox rootkit'ini dağıtan yeni bir kampanya keşfettiler. Bu sefer, kampanyanın arkasındaki tehdit aktörleri, araştırmaya göre, kötü amaçlı yazılımı sahte Telegram masaüstü istemci yükleyicilerinde saklıyor ve bunu oldukça iyi yapıyor.

Mor Tilki Yine Gelişiyor

Purple Fox kötü amaçlı yazılımı, yıllar içinde birkaç yinelemeden ve değişiklikten geçti. Birkaç yıl önce bir rootkit yüküne sahip dosyasız kötü amaçlı yazılım olarak keşfedilen kötü amaçlı yazılım, zaman içinde çeşitli yayılma teknikleri kullandı. Bunlar solucan benzeri yeteneklerin ve arka kapı işlevselliğinin eklenmesinden, sunucu mesajı engelleme kaba kuvvet saldırılarını denemeye kadar uzanıyordu.

Bu son kampanyada Minerva Labs, Telegram desktop.exe adlı kötü niyetli yükleyiciyi inceledi. Ekip, yürütülebilir dosyanın gerçekten, başlangıçta Windows yazılımında otomasyon için kullanılan ücretsiz bir dil olan AutoIt kullanılarak derlenmiş bir komut dosyası olduğunu buldu.

Saldırının ilk adımı, kurbanın sabit diskinde Temp klasöründe %localappdata% altında bulunan yeni bir "TextInputh" klasörü oluşturan komut dosyasıdır. Bu klasörde, TextInputh.exe adlı bir kötü amaçlı yazılım indiricisiyle birlikte meşru bir Telegram yükleyicisi dağıtılır, ancak hiçbir zaman yürütülmez.

Yürütüldüğünde, indirilen, Users\Public\Videos\ altında yeni bir dizin oluşturur ve ona ad olarak sayısal bir dize verir. Sıkıştırılmış bir .rar dosyası ve meşru bir 7zip açma aracı daha sonra, kötü amaçlı yazılımın C2 sunucularıyla bağlantı kuran TextInputh yürütülebilir dosyası aracılığıyla yeni klasöre indirilir.

Sıkıştırılmış dosya bir yürütülebilir dosya, bir DLL dosyası ve bir svchost.txt dosyası içerir. Yürütülebilir dosya, DLL'yi yüklemek için kullanılır ve bu da txt dosyasını okur. .txt dosyası, daha fazla kayıt defteri kontrolleri ve ek kötü amaçlı dosyaların dağıtılması için kullanılır.

Radarın Altında Uçmak

Minerva'ya göre, aynı zamanda çok sayıda adımdan geçen bu parçalanmış, çok dosyalı yaklaşım, bu kampanyanın radarın altında nispeten alçaktan uçmasına ve bir süre tespitten kaçmasına izin verdi. Bulaşma zincirinde kullanılan tek tek dosyalar, kampanyanın başarısına katkıda bulunan çok düşük tespit oranlarına sahiptir. Araştırmacılara göre, farklı parçalanmış dosya kümeleri kendi başlarına "işe yaramaz", ancak tüm küme bir araya getirildiğinde çalışır.