Специалисты по информационной безопасности бьют тревогу, что руткит Purple Fox теперь распространяется через не официальные установщики Telegram в Интернете.
На этой неделе Minerva Labs Команда кибербезопасности, работающая с MalwareHunterTeam, заявила, что Purple Fox маскируется с помощью файла с именем «Telegram Desktop.exe». Те, кто считает, что они устанавливают популярную службу обмена сообщениями, вместо этого становятся жертвами вредоносного ПО, а процесс заражения усложняет обнаружение.
Впервые обнаруженный в 2018 году, Purple Fox распространялся различными способами, включая фишинговые электронные письма, вредоносные ссылки и комплекты эксплойтов. Однако за последние несколько лет методы распространения расширились и стали включать в себя компрометацию уязвимых служб, подключенных к Интернету, открытых служб SMB и поддельных установщиков.
Вредоносный установщик Telegram был разработан в виде скомпилированного скрипта AutoIt и используется вместе с вредоносным загрузчиком TextInputh.exe.
Скрипт разделяется на несколько небольших файлов, позволяя злоумышленнику оставаться незамеченным, вследствие чего это и приводит к заражению руткитом Purple Fox.
TextInputh.exe создает новую папку и подключается к командному серверу (C2) вредоносной программы. Затем загружает и запускает два новых файла, один из которых для распаковки архивов .RAR, а второй для загрузки вредоносных DLL.
Для обеспечения сохранности на зараженной машине создается раздел реестра, а в папку ProgramData помещаются еще пять файлов для выполнения функций, включая завершение широкого спектра антивирусных процессов перед окончательным развертыванием Purple Fox.
Троян Purple Fox выпускается как в 32-битной, так и в 64-битной версиях Windows. В марте прошлого года Guardicore Labs обнаружила, что в вредоносное ПО были интегрированы новые возможности червя, и были захвачены тысячи уязвимых серверов для размещения полезных нагрузок Purple Fox.
К октябрю Trend Micro обнаружил новый бэкдор .net, получивший название FoxSocket, который считается новым дополнением к существующим возможностям вредоносного ПО.
Учитывая, что вредоносная программа теперь содержит руткит, функции червя и была обновлена с помощью более надежного бэкдора, включение скрытого процесса заражения означает, что исследователи кибербезопасности, вероятно, будут пристально следить за будущим развитием этого вредоносного ПО.
«Прелесть этой атаки в том, что каждый этап разделен на отдельный файл, который бесполезен без полного набора файлов», — отметили в команде. «Это помогает злоумышленнику защитить свои файлы от AV-обнаружения».