據securityaffairs訊息,Minerva實驗室日前發現,未知攻擊者正使用受感染的 Telegram 安裝程式傳播Purple Fox (紫狐)惡意程式。
2021年12月25日,安全研究團隊Malware Hunter Team發現了一個惡意安裝程式。Minerva實驗室的研究人員繼而展開調查,發現與其他惡意軟體的傳播方式不同,Purple Fox採取了新傳播方式,這令它的隱秘性進一步提高。
“一般而言,攻擊者會使用合法的軟體安裝包來嵌入惡意檔案。但這次不同,攻擊者將惡意檔案分成數個檔案以躲避檢測,這些檔案最終會導致Purple Fox rootkit 感染。”Minerva實驗室釋出的分析報告中寫道。
Purple Fox於 2018 年 3 月首次被發現,並以名為“.msi ”軟體包的形式在網際網路分發。當時,專家們在近 2000 臺受感染的 Windows 伺服器上發現了該軟體包。2021 年 3 月,Guardicore 的研究人員發現了Purple Fox的全新變種,它進化出了大規模感染伺服器的能力。
Purple Fox這次為躲避檢測而偽裝成 Telegram 安裝程式進行大規模傳播,經研究發現,其實就是一個名為 "Telegram Desktop.exe"的AutoIt指令碼,主要用於自動化windows的GUI程式。
執行指令碼後,它會在 C:\Users\Username\AppData\Local\Temp\ 下建立一個名為“TextInputh”的新資料夾,並刪除正版 Telegram 安裝程式和惡意下載程式 (TextInputh.exe)。
執行時,TextInputh.exe會繼續在C:\Users\Public\Videos\目錄下建立一個名為“1640618495”的資料夾,然後從C2伺服器將“1.rar”、“7zz.exe”檔案下載到新建的資料夾中。
然後 TextInputh.exe 執行以下操作:
將帶有 "360.dll "名稱的360.tct、rundll3222.exe和svchost.txt複製到ProgramData資料夾中。
用“ojbk.exe -a”命令列執行 ojbk.exe
刪除1.rar和7zz.exe,退出ojbk.exe程序
“當使用“-a”引數執行時,這個檔案只用來反射性地載入惡意的360.dll檔案",報告分析。
之後,以下五個檔案將繼續被放入 ProgramData 資料夾中。
- exe – 這個檔案被用來關閉和阻止 360 AV 的啟動
- sys – 刪除此檔案後,會在受感染的 PC 上建立並啟動一個名為“Driver”的新系統驅動程式服務,並在 ProgramData 資料夾中建立 bmd.txt
- dll – 在繞過 UAC 後執行。
- bat – 在檔案刪除結束後執行的批處理指令碼。
- hg – SQLite 檔案
上述檔案被用來阻止 360 AV 程序的啟動,最終阻止檢測的有效載荷,也就順理成章實現了Purple Fox 的後門功能。
然後,該惡意軟體收集基本系統資訊,檢查目標主機上是否有安全防護工具,並將它們的硬編碼傳送到C2伺服器。
最後一步也是最關鍵的一步,Purple Fox被作為 .msi 檔案從 C2 伺服器下載,用於系統加密的 shellcode也一併被下載下來。因此,Purple Fox堂而皇之地禁用UAC(使用者賬戶控制),以執行廣泛的惡意活動,如殺死程序,下載和執行額外的有效負載等等。
“我們發現大量惡意安裝程式使用相同的攻擊鏈,來傳遞相同的Purple Fox rootkit。有些郵件似乎是透過電子郵件傳送的,而另一些我們認為是從釣魚網站下載的。這種攻擊方式的特別之處在於,惡意檔案每個階段都被分離到不同的檔案中,如果沒有整個檔案集,這些檔案就毫無用處。這有助於攻擊者保護惡意檔案免受 AV 檢測。” 報告總結道。
