據securityaffairs消息，Minerva實驗室日前發現，未知攻擊者正使用受感染的 Telegram 安裝程序傳播Purple Fox (紫狐)惡意程序。

2021年12月25日，安全研究團隊Malware Hunter Team發現了一個惡意安裝程序。Minerva實驗室的研究人員繼而展開調查，發現與其他惡意軟件的傳播方式不同，Purple Fox采取了新傳播方式，這令它的隱秘性進一步提高。

“一般而言，攻擊者會使用合法的軟件安裝包來嵌入惡意文件。但這次不同，攻擊者將惡意文件分成數個文件以躲避檢測，這些文件最終會導致Purple Fox rootkit 感染。”Minerva實驗室發布的分析報告中寫道。

Purple Fox于 2018 年 3 月首次被發現，并以名為“.msi ”軟件包的形式在互聯網分發。當時，專家們在近 2000 臺受感染的 Windows 服務器上發現了該軟件包。2021 年 3 月，Guardicore 的研究人員發現了Purple Fox的全新變種，它進化出了大規模感染服務器的能力。

Purple Fox這次為躲避檢測而偽裝成 Telegram 安裝程序進行大規模傳播，經研究發現，其實就是一個名為 "Telegram Desktop.exe"的AutoIt腳本，主要用于自動化windows的GUI程序。

執行腳本后，它會在 C:\Users\Username\AppData\Local\Temp\ 下創建一個名為“TextInputh”的新文件夾，并刪除正版 Telegram 安裝程序和惡意下載程序 (TextInputh.exe)。

執行時，TextInputh.exe會繼續在C:\Users\Public\Videos\目錄下創建一個名為“1640618495”的文件夾，然后從C2服務器將“1.rar”、“7zz.exe”文件下載到新建的文件夾中。

然后 TextInputh.exe 執行以下操作：

• 將帶有 "360.dll "名稱的360.tct、rundll3222.exe和svchost.txt復制到ProgramData文件夾中。
• 用“ojbk.exe -a”命令行執行 ojbk.exe
• 刪除1.rar和7zz.exe，退出ojbk.exe進程

“當使用“-a”參數執行時，這個文件只用來反射性地加載惡意的360.dll文件"，報告分析。

之后，以下五個文件將繼續被放入 ProgramData 文件夾中。

• exe – 這個文件被用來關閉和阻止 360 AV 的啟動
• sys – 刪除此文件后，會在受感染的 PC 上創建并啟動一個名為“Driver”的新系統驅動程序服務，并在 ProgramData 文件夾中創建 bmd.txt
• dll – 在繞過 UAC 后執行。
• bat – 在文件刪除結束后執行的批處理腳本。
• hg – SQLite 文件

上述文件被用來阻止 360 AV 進程的啟動，最終阻止檢測的有效載荷，也就順理成章實現了Purple Fox 的后門功能。

然后，該惡意軟件收集基本系統信息，檢查目標主機上是否有安全防護工具，并將它們的硬編碼發送到C2服務器。

最后一步也是最關鍵的一步，Purple Fox被作為 .msi 文件從 C2 服務器下載，用于系統加密的 shellcode也一并被下載下來。因此，Purple Fox堂而皇之地禁用UAC(用戶賬戶控制)，以執行廣泛的惡意活動，如殺死進程，下載和執行額外的有效負載等等。

“我們發現大量惡意安裝程序使用相同的攻擊鏈，來傳遞相同的Purple Fox rootkit。有些郵件似乎是通過電子郵件發送的，而另一些我們認為是從釣魚網站下載的。這種攻擊方式的特別之處在于，惡意文件每個階段都被分離到不同的文件中，如果沒有整個文件集，這些文件就毫無用處。這有助于攻擊者保護惡意文件免受 AV 檢測。” 報告總結道。

參考來源：https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html