研究者は、偽の電報インストーラーにネストされたパープルフォックスルートキットについて警告します

今週初め、イスラエルの警備会社Minerva Labsの研究者は、PurpleFoxルートキットを配布している新しいキャンペーンを発見しました。調査によると、今回、キャンペーンの背後にいる脅威アクターは、偽のTelegramデスクトップクライアントインストーラーにマルウェアを隠し、それをかなりうまく行っています。

パープルフォックスはまたもや進化する

Purple Foxマルウェアは、何年にもわたって数回の反復と変更を経てきました。数年前にルートキットペイロードを持つファイルレスマルウェアとして発見されたマルウェアは、時間の経過とともにさまざまな伝播手法を使用していました。それらは、ワームのような機能やバックドア機能の追加から、サーバーメッセージブロックブルートフォース攻撃の試みにまで及びました。

この最新のキャンペーンでは、MinervaLabsがTelegramdesktop.exeという悪意のあるインストーラーを調査しました。チームは、実行可能ファイルが実際にはAutoItを使用してコンパイルされたスクリプトであることに気付きました。これは、Windowsソフトウェアの自動化に最初に使用されたフリーウェア言語です。

攻撃の最初のステップは、Tempフォルダーの％localappdata％の下にある被害者のハードドライブに新しい「TextInputh」フォルダーを作成するスクリプトです。そのフォルダーには、TextInputh.exeという名前のマルウェアダウンローダーとともに、正規のTelegramインストーラーが展開されますが、実行されることはありません。

実行時に、ダウンロードされたユーザーは、Users \ Public \ Videos \の下に新しいディレクトリを作成し、名前として数値文字列を付けます。次に、圧縮された.rarファイルと正規の7zip解凍ツールが、マルウェアのC2サーバーに接続するTextInputh実行可能ファイルを介して新しいフォルダーにダウンロードされます。

圧縮ファイルには、実行可能ファイル、DLLファイル、およびsvchost.txtファイルが含まれています。実行可能ファイルはDLLをロードするために使用され、DLLはtxtファイルを読み取ります。 .txtファイルは、レジストリのチェックと追加の悪意のあるファイルの展開に使用されます。

レーダーの下を飛ぶ

ミネルバによれば、この断片化されたマルチファイルアプローチは、多くのステップを経ており、このキャンペーンがレーダーの下で比較的低く飛んで、しばらくの間検出をかわすことができた理由です。感染チェーンで使用される個々のファイルの検出率は非常に低く、キャンペーンの成功に貢献しました。研究者によると、断片化されたさまざまなファイルのセットは、それ自体では「役に立たない」ものですが、セット全体をまとめると機能します。