研究人員警告紫狐 Rootkit 嵌套在假 Telegram 安裝程序中

Computer Security 年Mura年

翻譯為：

本週早些時候，以色列安全公司 Minerva Labs 的研究人員發現了一項新的活動，該活動正在分發 Purple Fox Rootkit。根據研究，這一次，該活動背後的威脅行為者將惡意軟件隱藏在虛假的 Telegram 桌面客戶端安裝程序中，並且做得相當好。

多年來， Purple Fox 惡意軟件經歷了多次迭代和變化。幾年前被發現是帶有 rootkit 負載的無文件惡意軟件，隨著時間的推移，該惡意軟件使用了各種傳播技術。這些範圍從添加蠕蟲功能和後門功能到嘗試服務器消息塊暴力攻擊。

在最新的活動中，Minerva 實驗室檢查了名為 Telegram desktop.exe 的惡意安裝程序。該團隊發現該可執行文件實際上是一個使用 AutoIt 編譯的腳本——一種最初用於 Windows 軟件自動化的免費軟件語言。

攻擊的第一步是腳本在受害者的硬盤驅動器上創建一個新的"TextInputh"文件夾，該文件夾位於 %localappdata% 下的 Temp 文件夾中。在該文件夾中，部署了一個合法的 Telegram 安裝程序，但從未執行，以及一個名為 TextInputh.exe 的惡意軟件下載程序。

執行後，下載的文件會在 Users\Public\Videos\ 下創建一個新目錄，並為其提供一個數字字符串作為名稱。然後將壓縮的 .rar 文件和合法的 7zip 解壓工具通過 TextInputh 可執行文件下載到新文件夾中，該可執行文件與惡意軟件的 C2 服務器聯繫。

壓縮文件包含一個可執行文件、一個 DLL 文件和一個 svchost.txt 文件。可執行文件用於加載 DLL，後者依次讀取 txt 文件。 .txt 文件用於進一步的註冊表檢查和部署其他惡意文件。

根據 Minerva 的說法，這種碎片化的、多文件的方法也經歷了大量的步驟，使這次活動能夠在雷達下相對較低地飛行並在一段時間內躲避檢測。感染鏈中使用的單個文件的檢測率非常低，這有助於該活動的成功。根據研究人員的說法，不同的碎片文件集本身是"無用的"，但是當整個文件集放在一起時才起作用。

搜索