恶意软件Purple Fox 伪装成 Telegram 安装程序传播

安全
与其他恶意软件的传播方式不同,Purple Fox采用的新传播方式,使得其隐匿性进一步提高。

据securityaffairs消息,Minerva实验室日前发现,未知攻击者正使用受感染的 Telegram 安装程序传播Purple Fox (紫狐)恶意程序。

2021年12月25日,安全研究团队Malware Hunter Team发现了一个恶意安装程序。Minerva实验室的研究人员继而展开调查,发现与其他恶意软件的传播方式不同,Purple Fox采取了新传播方式,这令它的隐秘性进一步提高。

“一般而言,攻击者会使用合法的软件安装包来嵌入恶意文件。但这次不同,攻击者将恶意文件分成数个文件以躲避检测,这些文件最终会导致Purple Fox rootkit 感染。”Minerva实验室发布的分析报告中写道。

Purple Fox于 2018 年 3 月首次被发现,并以名为“.msi ”软件包的形式在互联网分发。当时,专家们在近 2000 台受感染的 Windows 服务器上发现了该软件包。2021 年 3 月,Guardicore 的研究人员发现了Purple Fox的全新变种,它进化出了大规模感染服务器的能力。

Purple Fox这次为躲避检测而伪装成 Telegram 安装程序进行大规模传播,经研究发现,其实就是一个名为 "Telegram Desktop.exe"的AutoIt脚本,主要用于自动化windows的GUI程序。

执行脚本后,它会在 C:\Users\Username\AppData\Local\Temp\ 下创建一个名为“TextInputh”的新文件夹,并删除正版 Telegram 安装程序和恶意下载程序 (TextInputh.exe)。

执行时,TextInputh.exe会继续在C:\Users\Public\Videos\目录下创建一个名为“1640618495”的文件夹,然后从C2服务器将“1.rar”、“7zz.exe”文件下载到新建的文件夹中。

然后 TextInputh.exe 执行以下操作:

  • 将带有 "360.dll "名称的360.tct、rundll3222.exe和svchost.txt复制到ProgramData文件夹中。
  • 用“ojbk.exe -a”命令行执行 ojbk.exe
  • 删除1.rar和7zz.exe,退出ojbk.exe进程

“当使用“-a”参数执行时,这个文件只用来反射性地加载恶意的360.dll文件",报告分析。

之后,以下五个文件将继续被放入 ProgramData 文件夹中。

  • exe – 这个文件被用来关闭和阻止 360 AV 的启动
  • sys – 删除此文件后,会在受感染的 PC 上创建并启动一个名为“Driver”的新系统驱动程序服务,并在 ProgramData 文件夹中创建 bmd.txt
  • dll – 在绕过 UAC 后执行。
  • bat – 在文件删除结束后执行的批处理脚本。
  • hg – SQLite 文件

上述文件被用来阻止 360 AV 进程的启动,最终阻止检测的有效载荷,也就顺理成章实现了Purple Fox 的后门功能。

然后,该恶意软件收集基本系统信息,检查目标主机上是否有安全防护工具,并将它们的硬编码发送到C2服务器。

最后一步也是最关键的一步,Purple Fox被作为 .msi 文件从 C2 服务器下载,用于系统加密的 shellcode也一并被下载下来。因此,Purple Fox堂而皇之地禁用UAC(用户账户控制),以执行广泛的恶意活动,如杀死进程,下载和执行额外的有效负载等等。

“我们发现大量恶意安装程序使用相同的攻击链,来传递相同的Purple Fox rootkit。有些邮件似乎是通过电子邮件发送的,而另一些我们认为是从钓鱼网站下载的。这种攻击方式的特别之处在于,恶意文件每个阶段都被分离到不同的文件中,如果没有整个文件集,这些文件就毫无用处。这有助于攻击者保护恶意文件免受 AV 检测。” 报告总结道。

参考来源:https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-10-29 16:28:48

Android恶意软件网络攻击

2023-08-30 07:19:49

2017-02-27 16:28:00

2013-12-12 09:40:22

2020-03-14 16:40:15

安全病毒黑客

2013-12-12 11:08:24

恶意软件IIS服务器微软

2021-04-08 20:48:00

Purple Fox恶意软件Windows设备

2022-09-01 10:28:10

恶意软件恶意应用挖矿

2017-04-01 02:36:15

2022-06-05 13:59:01

恶意软件安卓Android

2019-01-07 08:07:13

2022-03-17 11:49:55

恶意软件安全工具钓鱼攻击

2017-01-03 20:43:44

2017-01-04 15:53:09

2011-08-30 10:46:42

2022-01-17 15:13:52

恶意软件操作系统

2011-05-16 15:42:06

2013-09-09 11:37:19

卡巴斯基木马QVOD

2021-05-17 10:46:04

FIN7后门工具白帽工具

2024-07-22 13:56:02

点赞
收藏

51CTO技术栈公众号