Forscher warnen vor Purple Fox Rootkit, das in gefälschten Telegramm-Installern verschachtelt ist
Anfang dieser Woche entdeckten Forscher des israelischen Sicherheitsunternehmens Minerva Labs eine neue Kampagne, die das Rootkit von Purple Fox verbreitet. Diesmal verstecken die Bedrohungsakteure hinter der Kampagne die Malware in gefälschten Telegram-Desktop-Client-Installationsprogrammen und machen dies laut der Studie recht gut.
Purple Fox entwickelt sich erneut
Die Purple Fox-Malware durchlief im Laufe der Jahre mehrere Iterationen und Änderungen. Vor einigen Jahren als dateilose Malware mit Rootkit-Nutzlast entdeckt, nutzte die Malware im Laufe der Zeit verschiedene Verbreitungstechniken. Diese reichten von der Hinzufügung wurmähnlicher Fähigkeiten und Backdoor-Funktionalität bis hin zu dem Versuch, Brute-Force-Angriffe auf Servernachrichten zu blockieren.
In dieser neuesten Kampagne haben Minerva Labs das bösartige Installationsprogramm namens Telegram desktop.exe untersucht. Das Team stellte fest, dass die ausführbare Datei in Wirklichkeit ein Skript war, das mit AutoIt kompiliert wurde – einer Freeware-Sprache, die ursprünglich für die Automatisierung in Windows-Software verwendet wurde.
Der erste Schritt des Angriffs besteht darin, dass das Skript einen neuen Ordner "TextInputh" auf der Festplatte des Opfers erstellt, der sich unter %localappdata% im Ordner Temp befindet. In diesem Ordner wird ein legitimes Telegram-Installationsprogramm bereitgestellt, aber nie ausgeführt, zusammen mit einem Malware-Downloader namens TextInputh.exe.
Bei der Ausführung erstellt der Download ein neues Verzeichnis unter Users\Public\Videos\ und gibt ihm eine numerische Zeichenfolge als Namen. Eine komprimierte .rar-Datei und ein legitimes 7zip-Dekomprimierungstool werden dann über die ausführbare Datei TextInputh in den neuen Ordner heruntergeladen, die die C2-Server der Malware kontaktiert.
Die komprimierte Datei enthält eine ausführbare Datei, eine DLL-Datei und eine svchost.txt-Datei. Die ausführbare Datei wird zum Laden der DLL verwendet, die wiederum die txt-Datei liest. Die .txt-Datei wird für weitere Registrierungsprüfungen und die Bereitstellung zusätzlicher schädlicher Dateien verwendet.
Fliegen unter dem Radar
Laut Minerva hat dieser fragmentierte Multi-File-Ansatz, der auch viele Schritte durchläuft, es dieser Kampagne ermöglicht, relativ tief unter dem Radar zu fliegen und der Erkennung für einige Zeit auszuweichen. Die in der Infektionskette verwendeten Einzeldateien weisen sehr geringe Erkennungsraten auf, was zum Erfolg der Kampagne beigetragen hat. Den Forschern zufolge sind die verschiedenen fragmentierten Dateisätze für sich allein "nutzlos", funktionieren jedoch, wenn der gesamte Satz zusammengestellt wird.