恶意软件Purple Fox 假装成 Telegram 按部就班顺序传播

发布日期:2022-08-07 05:58    点击次数:125

据securityaffairs音讯,Minerva试验室日前缔造,未知袭击者正运用受净化的 Telegram 按部就班顺序传播Purple Fox (紫狐)恶意顺序。

2021年12月25日,安好研究团队Malware Hunter Team缔造白一个恶意按部就班顺序。Minerva试验室的研究人员继而开展考察,缔造与别的恶意软件的传播要领差别,Purple Fox采取了新传播要领,这令它的荫蔽性进一步行进。

“普通而言,袭击者会运用非法的软件按部就班包来嵌入恶意文件。但这次差别,袭击者将恶意文件分成数个文件以逃避检测,这些文件终究会导致Purple Fox rootkit 净化。”Minerva试验室宣布的阐发报告中写道。

Purple Fox于 2018 年 3 月初度被缔造,并以名为“.msi ”软件包的模式在互联网散发。事先,专家们在近 2000 台受净化的 Windows 服务器上缔造白该软件包。2021 年 3 月,Guardicore 的研究人员缔造白Purple Fox的全新变种,它退化出了大局限净化服务器的才能。

Purple Fox这次为逃避检测而假装成 Telegram 按部就班顺序举行大局限传播,经研究缔造,着实就是一个名为 "Telegram Desktop.exe"的AutoIt脚本,次要用于自动化windows的GUI顺序。

执行脚本后,它会在 C:\Users\Username\AppData\Local\Temp\ 下创立一个名为“TextInputh”的新文件夹,并删除正版 Telegram 按部就班顺序和恶意下载顺序 (TextInputh.exe)。

执行时,TextInputh.exe会延续在C:\Users\Public\Videos\目录下创立一个名为“1640618495”的文件夹,尔后从C2服务器将“1.rar”、“7zz.exe”文件下载到新建的文件夹中。

尔后 TextInputh.exe 执行下列操作:

将带有 "360.dll "名称的360.tct、rundll3222.exe和svchost.txt复制到ProgramData文件夹中。 用“ojbk.exe -a”敕令行执行 ojbk.exe 删除1.rar和7zz.exe,退出ojbk.exe过程

“当运用“-a”参数执行时,公司新闻这个文件只用来反射性地加载恶意的360.dll文件",报告阐发。

当前,下列五个文件将延续被放入 ProgramData 文件夹中。

exe – 这个文件被用来敞开和阻止 360 AV 的启动 sys – 删除此文件后,会在受净化的 PC 上创立并启动一个名为“Driver”的新体系驱动顺序服务,并在 ProgramData 文件夹中创立 bmd.txt dll – 在绕过 UAC 后执行。 bat – 在文件删除终止后执行的批处理惩罚脚本。 hg – SQLite 文件

上述文件被用来阻止 360 AV 过程的启动,终究阻止检测的有用载荷,也就穿凿附会完成为了Purple Fox 的后门功用。

尔后,该恶意软件采集根抵体系信息,查抄目的主机上是否有安好防护器材,并将它们的硬编码发送到C2服务器。

最后一步也是最关键的一步,Purple Fox被作为 .msi 文件从 C2 服务器下载,用于体系加密的 shellcode也一并被下载上去。因而,Purple Fox堂而皇之地禁用UAC(用户账户掌握),以执行普及的恶意流动,如杀死过程,下载和执行额外的有用负载等等。

“我们缔造大量恶意按部就班顺序运用沟通的袭击链,来通报沟通的Purple Fox rootkit。有些邮件宛若是经由过程电子邮件发送的,而另外一些我们觉得是从垂钓网站下载的。这类袭击要领的特其它地方在于,恶意文件每个阶段都被别离到差别的文件中,假定没有全副文件集,这些文件就毫无用场。这有助于袭击者呵护恶意文件免受 AV 检测。” 报告总结道。

参考起原:https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html

 



 




Powered by 欧冠赛程网址推荐 @2013-2022 RSS地图 HTML地图