恶意软件Purple Fox 伪装成 Telegram 安装程序传播

TG号自助购买 admin 发布时间:2023-02-01 浏览:2 次

据securityaffairs消息,Minerva实验室日前发现,未知攻击者正使用受感染的 Telegram 安装程序传播Purple Fox (紫狐)恶意程序。

2021年12月25日,安全研究团队Malware Hunter Team发现了一个恶意安装程序。Minerva实验室的研究人员继而展开调查,发现与其他恶意软件的传播方式不同,Purple Fox采取了新传播方式,这令它的隐秘性进一步提高。

“一般而言,攻击者会使用合法的软件安装包来嵌入恶意文件。但这次不同,攻击者将恶意文件分成数个文件以躲避检测,这些文件最终会导致Purple Fox rootkit 感染。”Minerva实验室发布的分析报告中写道。

Purple Fox于 2018 年 3 月首次被发现,并以名为“.msi ”软件包的形式在互联网分发。当时,专家们在近 2000 台受感染的 Windows 服务器上发现了该软件包。2021 年 3 月,Guardicore 的研究人员发现了Purple Fox的全新变种,它进化出了大规模感染服务器的能力。

Purple Fox这次为躲避检测而伪装成 Telegram 安装程序进行大规模传播,经研究发现,其实就是一个名为 "Telegram Desktop.exe"的AutoIt脚本,主要用于自动化windows的GUI程序。

执行脚本后,它会在 C:\Users\Username\AppData\Local\Temp\ 下创建一个名为“TextInputh”的新文件夹,并删除正版 Telegram 安装程序和恶意下载程序 (TextInputh.exe)。

执行时,TextInputh.exe会继续在C:\Users\Public\Videos\目录下创建一个名为“1640618495”的文件夹,然后从C2服务器将“1.rar”、“7zz.exe”文件下载到新建的文件夹中。

然后 TextInputh.exe 执行以下操作:

将带有 "360.dll "名称的360.tct、rundll3222.exe和svchost.txt复制到ProgramData文件夹中。

用“ojbk.exe -a”命令行执行 ojbk.exe删除1.rar和7zz.exe,退出ojbk.exe进程

“当使用“-a”参数执行时,这个文件只用来反射性地加载恶意的360.dll文件",报告分析。

之后,以下五个文件将继续被放入 ProgramData 文件夹中。

exe – 这个文件被用来关闭和阻止 360 AV 的启动sys – 删除此文件后,会在受感染的 PC 上创建并启动一个名为“Driver”的新系统驱动程序服务,并在 ProgramData 文件夹中创建 bmd.txtdll – 在绕过 UAC 后执行。bat – 在文件删除结束后执行的批处理脚本。hg – SQLite 文件

上述文件被用来阻止 360 AV 进程的启动,最终阻止检测的有效载荷,也就顺理成章实现了Purple Fox 的后门功能。

然后,该恶意软件收集基本系统信息,检查目标主机上是否有安全防护工具,并将它们的硬编码发送到C2服务器。

最后一步也是最关键的一步,Purple Fox被作为 .msi 文件从 C2 服务器下载,用于系统加密的 shellcode也一并被下载下来。因此,Purple Fox堂而皇之地禁用UAC(用户账户控制),以执行广泛的恶意活动,如杀死进程,下载和执行额外的有效负载等等。

“我们发现大量恶意安装程序使用相同的攻击链,来传递相同的Purple Fox rootkit。有些邮件似乎是通过电子邮件发送的,而另一些我们认为是从钓鱼网站下载的。这种攻击方式的特别之处在于,恶意文件每个阶段都被分离到不同的文件中,如果没有整个文件集,这些文件就毫无用处。这有助于攻击者保护恶意文件免受 AV 检测。” 报告总结道。

在线咨询

点击这里给我发消息售前咨询专员

在线咨询

电报

Telegram:buyhao


如您有问题,可以联系我们电报!

电报
在线购买
返回顶部