研究人员警告紫狐 Rootkit 嵌套在假 Telegram 安装程序中

通过Mura在 Computer Security

翻译为：

本周早些时候，以色列安全公司 Minerva Labs 的研究人员发现了一项新的活动，该活动正在分发 Purple Fox Rootkit。根据研究，这一次，该活动背后的威胁行为者将恶意软件隐藏在虚假的 Telegram 桌面客户端安装程序中，并且做得相当好。

多年来， Purple Fox 恶意软件经历了多次迭代和变化。几年前被发现是带有 rootkit 负载的无文件恶意软件，随着时间的推移，该恶意软件使用了各种传播技术。这些范围从添加蠕虫功能和后门功能到尝试服务器消息块暴力攻击。

在最新的活动中，Minerva 实验室检查了名为 Telegram desktop.exe 的恶意安装程序。该团队发现该可执行文件实际上是一个使用 AutoIt 编译的脚本——一种最初用于 Windows 软件自动化的免费软件语言。

攻击的第一步是脚本在受害者的硬盘驱动器上创建一个新的"TextInputh"文件夹，该文件夹位于 %localappdata% 下的 Temp 文件夹中。在该文件夹中，部署了一个合法的 Telegram 安装程序，但从未执行，以及一个名为 TextInputh.exe 的恶意软件下载程序。

执行后，下载的文件会在 Users\Public\Videos\ 下创建一个新目录，并为其提供一个数字字符串作为名称。然后将压缩的 .rar 文件和合法的 7zip 解压工具通过 TextInputh 可执行文件下载到新文件夹中，该可执行文件与恶意软件的 C2 服务器联系。

压缩文件包含一个可执行文件、一个 DLL 文件和一个 svchost.txt 文件。可执行文件用于加载 DLL，后者依次读取 txt 文件。 .txt 文件用于进一步的注册表检查和部署其他恶意文件。

根据 Minerva 的说法，这种碎片化的、多文件的方法也经历了大量的步骤，使这次活动能够在雷达下相对较低地飞行并在一段时间内躲避检测。感染链中使用的单个文件的检测率非常低，这有助于该活动的成功。根据研究人员的说法，不同的碎片文件集本身是"无用的"，但是当整个文件集放在一起时才起作用。

搜索