据securityaffairs,MinervaLabs近日发现,不明攻击者正在使用受感染的Telegram安装程序来传播PurpleFox(紫狐)恶意程序。2021年12月25日,安全研究团队MalwareHunterTeam发现了一个恶意安装程序。MinervaLabs的研究人员随后进行了调查,发现PurpleFox采用了一种不同于其他恶意软件的新传播方式,这使得它更加隐蔽。“通常,攻击者会使用合法的软件安装包嵌入恶意文件。但这一次,攻击者将恶意文件拆分成多个文件来避免检测,这些文件最终会导致紫狐rootkit感染。”密涅瓦实验办公室出具的分析报告中所述。PurpleFox于2018年3月首次被发现,并以“.msi”包的形式在互联网上传播。当时,专家们在近2,000台受感染的Windows服务器上发现了该软件包。2021年3月,Guardicore研究人员发现了PurpleFox的新变种,它进化出了大规模感染服务器的能力。PurpleFox伪装成Telegram安装程序进行大规模传播以避免被发现。经过研究,发现它其实是一个名为“TelegramDesktop.exe”的AutoIt脚本,主要用来自动化windows的GUI程序。脚本执行后,会在C:\Users\Username\AppData\Local\Temp\下创建名为“TextInputh”的新文件夹,并同时删除正版Telegram安装程序和恶意下载程序(TextInputh.exe)。执行时TextInputh.exe会继续在C:\Users\Public\Videos\目录下创建名为“1640618495”的文件夹,然后从C2服务器下载“1.rar”和“7zz.exe”文件到在新创建的文件夹中。TextInputh.exe然后执行以下操作:将360.tct、rundll3222.exe和svchost.txt的名称“360.dll”复制到ProgramData文件夹中。使用“ojbk.exe-a”命令行执行ojbk.exe,删除1.rar和7zz.exe,退出ojbk.exe进程“带-a”参数执行时,该文件仅用于反射性加载恶意360.dll”,报告分析。之后,ProgramData文件夹中会继续放置以下五个文件。exe——这个文件是用来关闭和防止360AV启动的。文件夹中的.txtdll–在绕过UAC后执行。bat–文件删除完成后执行的批处理脚本。hg–SQLite文件上述文件用于阻止360AV进程启动,最终拦截检测到的payload,逻辑上实现了紫狐的后门功能。然后恶意软件收集基本系统信息,检查目标主机上的安全保护工具,并将它们硬编码到C2服务器。最后一步也是最关键的一步。PurpleFox是从C2服务器上下载的一个.msi文件,同时还下载了用于系统加密的shellcode。因此,PurpleFox公然禁用UAC(用户帐户控制)以执行范围广泛的恶意活动,例如终止进程、下载和执行额外的payload等。“我们发现大量恶意安装程序使用相同的攻击链来提供相同的PurpleFoxrootkit。有些消息似乎是通过电子邮件发送的,而我们认为其他消息是从钓鱼网站下载的。是什么让这种攻击与众不同缺点是恶意文件的每个阶段都被分成不同的文件,如果没有整套文件,这些文件是没有用的。这有助于攻击者保护恶意文件免受AV检测,”报告总结道。参考来源:https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html
