Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London. PGP-nyckel: AF40821B.
Fullständig biografi publicerad i Zero Day den 5 januari 2022 | Ämne: Säkerhet
Purple Fox rootkit distribueras nu genom skadliga, falska Telegram-installatörer online, har forskare varnat.
Den här veckan sa Minerva Labs cybersäkerhetsteam, som arbetar med MalwareHunterTeam, att Purple Fox döljs genom en fil som heter “Telegram Desktop.exe.” De som tror att de installerar den populära meddelandetjänsten blir istället laddade med skadlig programvara – och infektionsprocessen har gjort det svårare att upptäcka.
Purple Fox upptäcktes först 2018 och har spridits på en mängd olika sätt, inklusive nätfiske-e-postmeddelanden, skadliga länkar och exploateringssatser. Men under de senaste åren har distributionsmetoderna utökats till att omfatta äventyrande av sårbara internettjänster, exponerade SMB-tjänster och falska installatörer.
Det skadliga Telegram-installationsprogrammet har utvecklats som ett kompilerat AutoIt-skript. Vid körning släpps ett legitimt Telegram-installationsprogram – men används aldrig – tillsammans med en skadlig nedladdare som heter TextInputh.exe.
Attacken delas sedan upp i flera små filer, en teknik som Minerva säger gjorde att hotaktören kunde hålla sig under radarn – och de flesta av filerna “hade mycket låg upptäcktshastighet av AV-motorer, med det sista steget som ledde till Purple Fox rootkit-infektion .”
TextInputh.exe skapar en ny mapp och ansluter till skadlig programvaras kommando-och-kontroll-server (C2). Två nya filer laddas sedan ner och körs som packar upp .RAR-arkiv och en fil som används för att reflekterande ladda en skadlig .DLL.
En registernyckel skapas för att möjliggöra beständighet på en infekterad maskin och ytterligare fem filer släpps till ProgramData-mappen för att utföra funktioner inklusive att stänga av ett brett utbud av antivirusprocesser innan Purple Fox äntligen distribueras.
Purple Fox Trojan kommer i både 32-bitars och 64-bitars Windows-varianter. I mars förra året upptäckte Guardicore Labs att nya maskfunktioner hade integrerats i skadlig programvara och tusentals sårbara servrar hade kapats för att vara värd för Purple Fox-nyttolaster.
I oktober avslöjade Trend Micro en ny .net-bakdörr, kallad FoxSocket, som tros vara ett nytt tillägg till skadlig programvaras befintliga funktioner.
Med tanke på att skadlig programvara nu innehåller ett rootkit, maskfunktion och har uppgraderats med en mer robust bakdörr, innebär införandet av en smygande infektionsprocess att cybersäkerhetsforskare troligen kommer att hålla ett öga på denna skadliga programvaras framtida utveckling.
“Det fina med denna attack är att varje steg är separerat till en annan fil som är värdelös utan hela filuppsättningen,” noterade teamet. “Detta hjälper angriparen att skydda sina filer från AV-detektering.”
Tidigare och relaterad täckning
Purple Fox skadlig kod utvecklas för att spridas över Windows-maskiner
Detta är det perfekta offret för ransomware, enligt cyberbrottslingar
Cyberattack mot det brittiska försvarsministeriets utbildningsakademi avslöjat< br>
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter