日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
惡意軟件PurpleFox偽裝成Telegram安裝程序傳播

據(jù)securityaffairs消息,Minerva實驗室日前發(fā)現(xiàn),未知攻擊者正使用受感染的 Telegram 安裝程序傳播Purple Fox (紫狐)惡意程序。

2021年12月25日,安全研究團隊Malware Hunter Team發(fā)現(xiàn)了一個惡意安裝程序。Minerva實驗室的研究人員繼而展開調(diào)查,發(fā)現(xiàn)與其他惡意軟件的傳播方式不同,Purple Fox采取了新傳播方式,這令它的隱秘性進一步提高。

“一般而言,攻擊者會使用合法的軟件安裝包來嵌入惡意文件。但這次不同,攻擊者將惡意文件分成數(shù)個文件以躲避檢測,這些文件最終會導致Purple Fox rootkit 感染。”Minerva實驗室發(fā)布的分析報告中寫道。

Purple Fox于 2018 年 3 月首次被發(fā)現(xiàn),并以名為“.msi ”軟件包的形式在互聯(lián)網(wǎng)分發(fā)。當時,專家們在近 2000 臺受感染的 Windows 服務器上發(fā)現(xiàn)了該軟件包。2021 年 3 月,Guardicore 的研究人員發(fā)現(xiàn)了Purple Fox的全新變種,它進化出了大規(guī)模感染服務器的能力。

Purple Fox這次為躲避檢測而偽裝成 Telegram 安裝程序進行大規(guī)模傳播,經(jīng)研究發(fā)現(xiàn),其實就是一個名為 "Telegram Desktop.exe"的AutoIt腳本,主要用于自動化windows的GUI程序。

執(zhí)行腳本后,它會在 C:\Users\Username\AppData\Local\Temp\ 下創(chuàng)建一個名為“TextInputh”的新文件夾,并刪除正版 Telegram 安裝程序和惡意下載程序 (TextInputh.exe)。

執(zhí)行時,TextInputh.exe會繼續(xù)在C:\Users\Public\Videos\目錄下創(chuàng)建一個名為“1640618495”的文件夾,然后從C2服務器將“1.rar”、“7zz.exe”文件下載到新建的文件夾中。

然后 TextInputh.exe 執(zhí)行以下操作:

  • 將帶有 "360.dll "名稱的360.tct、rundll3222.exe和svchost.txt復制到ProgramData文件夾中。
  • 用“ojbk.exe -a”命令行執(zhí)行 ojbk.exe
  • 刪除1.rar和7zz.exe,退出ojbk.exe進程

“當使用“-a”參數(shù)執(zhí)行時,這個文件只用來反射性地加載惡意的360.dll文件",報告分析。

之后,以下五個文件將繼續(xù)被放入 ProgramData 文件夾中。

  • exe – 這個文件被用來關(guān)閉和阻止 360 AV 的啟動
  • sys – 刪除此文件后,會在受感染的 PC 上創(chuàng)建并啟動一個名為“Driver”的新系統(tǒng)驅(qū)動程序服務,并在 ProgramData 文件夾中創(chuàng)建 bmd.txt
  • dll – 在繞過 UAC 后執(zhí)行。
  • bat – 在文件刪除結(jié)束后執(zhí)行的批處理腳本。
  • hg – SQLite 文件

上述文件被用來阻止 360 AV 進程的啟動,最終阻止檢測的有效載荷,也就順理成章實現(xiàn)了Purple Fox 的后門功能。

然后,該惡意軟件收集基本系統(tǒng)信息,檢查目標主機上是否有安全防護工具,并將它們的硬編碼發(fā)送到C2服務器。

最后一步也是最關(guān)鍵的一步,Purple Fox被作為 .msi 文件從 C2 服務器下載,用于系統(tǒng)加密的 shellcode也一并被下載下來。因此,Purple Fox堂而皇之地禁用UAC(用戶賬戶控制),以執(zhí)行廣泛的惡意活動,如殺死進程,下載和執(zhí)行額外的有效負載等等。

“我們發(fā)現(xiàn)大量惡意安裝程序使用相同的攻擊鏈,來傳遞相同的Purple Fox rootkit。有些郵件似乎是通過電子郵件發(fā)送的,而另一些我們認為是從釣魚網(wǎng)站下載的。這種攻擊方式的特別之處在于,惡意文件每個階段都被分離到不同的文件中,如果沒有整個文件集,這些文件就毫無用處。這有助于攻擊者保護惡意文件免受 AV 檢測?!?報告總結(jié)道。

參考來源:https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html


文章標題:惡意軟件PurpleFox偽裝成Telegram安裝程序傳播
鏈接地址:http://www.dlmjj.cn/article/dhghesh.html