您所在的位置: 首頁 >
安全研究 >
安全通告 >
惡意軟件Purple Fox 偽裝成 Telegram
惡意軟件Purple Fox 偽裝成 Telegram 安裝程序傳播
據(jù)Securityaffairs消息,Minerva實(shí)驗(yàn)室日前發(fā)現(xiàn),未知攻擊者正使用受感染的 Telegram 安裝程序傳播Purple Fox(紫狐)惡意程序。
2021年12月25日,安全研究團(tuán)隊(duì)Malware Hunter Team發(fā)現(xiàn)了一個(gè)惡意安裝程序。Minerva實(shí)驗(yàn)室的研究人員繼而展開調(diào)查,發(fā)現(xiàn)與其他惡意軟件的傳播方式不同,Purple Fox采取了新傳播方式,這令它的隱秘性進(jìn)一步提高。
“一般而言,攻擊者會使用合法的軟件安裝包來嵌入惡意文件。但這次不同,攻擊者將惡意文件分成數(shù)個(gè)文件以躲避檢測,這些文件最終會導(dǎo)致Purple Fox rootkit 感染?!盡inerva實(shí)驗(yàn)室發(fā)布的分析報(bào)告中寫道。
Purple Fox于 2018 年 3 月首次被發(fā)現(xiàn),并以名為“.msi ”軟件包的形式在互聯(lián)網(wǎng)分發(fā)。當(dāng)時(shí),專家們在近 2000 臺受感染的 Windows 服務(wù)器上發(fā)現(xiàn)了該軟件包。2021 年 3 月,Guardicore 的研究人員發(fā)現(xiàn)了Purple Fox的全新變種,它進(jìn)化出了大規(guī)模感染服務(wù)器的能力。
Purple Fox這次為躲避檢測而偽裝成 Telegram 安裝程序進(jìn)行大規(guī)模傳播,經(jīng)研究發(fā)現(xiàn),其實(shí)就是一個(gè)名為"Telegram Desktop.exe"的AutoIt腳本,主要用于自動化windows的GUI程序。
執(zhí)行腳本后,它會在 C:\Users\Username\AppData\Local\Temp\ 下創(chuàng)建一個(gè)名為“TextInputh”的新文件夾,并刪除正版 Telegram 安裝程序和惡意下載程序 (TextInputh.exe)。
執(zhí)行時(shí),TextInputh.exe會繼續(xù)在C:\Users\Public\Videos\目錄下創(chuàng)建一個(gè)名為“1640618495”的文件夾,然后從C2服務(wù)器將“1.rar”、“7zz.exe”文件下載到新建的文件夾中。
然后 TextInputh.exe 執(zhí)行以下操作:
|將帶有 "360.dll "名稱的360.tct、rundll3222.exe和svchost.txt復(fù)制到ProgramData文件夾中。
|用“ojbk.exe -a”命令行執(zhí)行 ojbk.exe
|刪除1.rar和7zz.exe,退出ojbk.exe進(jìn)程
“當(dāng)使用-a參數(shù)執(zhí)行時(shí),這個(gè)文件只用來反射性地加載惡意的360.dll文件",報(bào)告分析。
之后,以下五個(gè)文件將繼續(xù)被放入 ProgramData 文件夾中。
· exe – 這個(gè)文件被用來關(guān)閉和阻止 360 AV 的啟動
· sys – 刪除此文件后,會在受感染的 PC 上創(chuàng)建并啟動一個(gè)名為“Driver”的新系統(tǒng)驅(qū)動程序服務(wù),并在 ProgramData 文件夾中創(chuàng)建 bmd.txt· dll – 在繞過 UAC 后執(zhí)行。
· bat – 在文件刪除結(jié)束后執(zhí)行的批處理腳本。
· hg – SQLite 文件
上述文件被用來阻止 360 AV 進(jìn)程的啟動,最終阻止檢測的有效載荷,也就順理成章實(shí)現(xiàn)了Purple Fox 的后門功能。
然后,該惡意軟件收集基本系統(tǒng)信息,檢查目標(biāo)主機(jī)上是否有安全防護(hù)工具,并將它們的硬編碼發(fā)送到C2服務(wù)器。
最后一步也是最關(guān)鍵的一步,Purple Fox被作為 .msi 文件從 C2 服務(wù)器下載,用于系統(tǒng)加密的 shellcode也一并被下載下來。因此,Purple Fox堂而皇之地禁用UAC(用戶賬戶控制),以執(zhí)行廣泛的惡意活動,如殺死進(jìn)程,下載和執(zhí)行額外的有效負(fù)載等等。
“我們發(fā)現(xiàn)大量惡意安裝程序使用相同的攻擊鏈,來傳遞相同的Purple Fox rootkit。有些郵件似乎是通過電子郵件發(fā)送的,而另一些我們認(rèn)為是從釣魚網(wǎng)站下載的。這種攻擊方式的特別之處在于,惡意文件每個(gè)階段都被分離到不同的文件中,如果沒有整個(gè)文件集,這些文件就毫無用處。這有助于攻擊者保護(hù)惡意文件免受 AV 檢測?!?報(bào)告總結(jié)道。
參考來源:
https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html
來源:FreeBuf