據(jù)securityaffairs消息，Minerva實(shí)驗(yàn)室日前發(fā)現(xiàn)，未知攻擊者正使用受感染的 Telegram 安裝程序傳播Purple Fox (紫狐)惡意程序。

2021年12月25日，安全研究團(tuán)隊(duì)Malware Hunter Team發(fā)現(xiàn)了一個(gè)惡意安裝程序。Minerva實(shí)驗(yàn)室的研究人員繼而展開調(diào)查，發(fā)現(xiàn)與其他惡意軟件的傳播方式不同，Purple Fox采取了新傳播方式，這令它的隱秘性進(jìn)一步提高。

“一般而言，攻擊者會使用合法的軟件安裝包來嵌入惡意文件。但這次不同，攻擊者將惡意文件分成數(shù)個(gè)文件以躲避檢測，這些文件最終會導(dǎo)致Purple Fox rootkit 感染。”Minerva實(shí)驗(yàn)室發(fā)布的分析報(bào)告中寫道。

Purple Fox于 2018 年 3 月首次被發(fā)現(xiàn)，并以名為“.msi ”軟件包的形式在互聯(lián)網(wǎng)分發(fā)。當(dāng)時(shí)，專家們在近 2000 臺受感染的 Windows 服務(wù)器上發(fā)現(xiàn)了該軟件包。2021 年 3 月，Guardicore 的研究人員發(fā)現(xiàn)了Purple Fox的全新變種，它進(jìn)化出了大規(guī)模感染服務(wù)器的能力。

Purple Fox這次為躲避檢測而偽裝成 Telegram 安裝程序進(jìn)行大規(guī)模傳播，經(jīng)研究發(fā)現(xiàn)，其實(shí)就是一個(gè)名為 "Telegram Desktop.exe"的AutoIt腳本，主要用于自動化windows的GUI程序。

執(zhí)行腳本后，它會在 C:\Users\Username\AppData\Local\Temp\ 下創(chuàng)建一個(gè)名為“TextInputh”的新文件夾，并刪除正版 Telegram 安裝程序和惡意下載程序 (TextInputh.exe)。

執(zhí)行時(shí)，TextInputh.exe會繼續(xù)在C:\Users\Public\Videos\目錄下創(chuàng)建一個(gè)名為“1640618495”的文件夾，然后從C2服務(wù)器將“1.rar”、“7zz.exe”文件下載到新建的文件夾中。

然后 TextInputh.exe 執(zhí)行以下操作：

• 將帶有 "360.dll "名稱的360.tct、rundll3222.exe和svchost.txt復(fù)制到ProgramData文件夾中。
• 用“ojbk.exe -a”命令行執(zhí)行 ojbk.exe
• 刪除1.rar和7zz.exe，退出ojbk.exe進(jìn)程

“當(dāng)使用“-a”參數(shù)執(zhí)行時(shí)，這個(gè)文件只用來反射性地加載惡意的360.dll文件"，報(bào)告分析。

之后，以下五個(gè)文件將繼續(xù)被放入 ProgramData 文件夾中。

• exe – 這個(gè)文件被用來關(guān)閉和阻止 360 AV 的啟動
• sys – 刪除此文件后，會在受感染的 PC 上創(chuàng)建并啟動一個(gè)名為“Driver”的新系統(tǒng)驅(qū)動程序服務(wù)，并在 ProgramData 文件夾中創(chuàng)建 bmd.txt
• dll – 在繞過 UAC 后執(zhí)行。
• bat – 在文件刪除結(jié)束后執(zhí)行的批處理腳本。
• hg – SQLite 文件

上述文件被用來阻止 360 AV 進(jìn)程的啟動，最終阻止檢測的有效載荷，也就順理成章實(shí)現(xiàn)了Purple Fox 的后門功能。

然后，該惡意軟件收集基本系統(tǒng)信息，檢查目標(biāo)主機(jī)上是否有安全防護(hù)工具，并將它們的硬編碼發(fā)送到C2服務(wù)器。

最后一步也是最關(guān)鍵的一步，Purple Fox被作為 .msi 文件從 C2 服務(wù)器下載，用于系統(tǒng)加密的 shellcode也一并被下載下來。因此，Purple Fox堂而皇之地禁用UAC(用戶賬戶控制)，以執(zhí)行廣泛的惡意活動，如殺死進(jìn)程，下載和執(zhí)行額外的有效負(fù)載等等。

“我們發(fā)現(xiàn)大量惡意安裝程序使用相同的攻擊鏈，來傳遞相同的Purple Fox rootkit。有些郵件似乎是通過電子郵件發(fā)送的，而另一些我們認(rèn)為是從釣魚網(wǎng)站下載的。這種攻擊方式的特別之處在于，惡意文件每個(gè)階段都被分離到不同的文件中，如果沒有整個(gè)文件集，這些文件就毫無用處。這有助于攻擊者保護(hù)惡意文件免受 AV 檢測。” 報(bào)告總結(jié)道。

參考來源：https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html