روت‌کیت روباه بنفش در تلگرام جعلی مخفی می‌شود

به تازگی کمپینی کشف شده است که با استفاده از فایل نصب تلگرام جعلی، بدافزار Purple Fox را نصب می‌کند.

 روت‌کیت روباه بنفش در تلگرام جعلی مخفی می‌شود

به تازگی کمپینی کشف شده است که با استفاده از فایل نصب تلگرام جعلی، بدافزار Purple Fox را نصب می‌کند. این کمپین، حمله خود را به فایل‌های کوچک تقسیم می‌کند و با این ترفند از چشم ضدویروس‌ها پنهان می‌ماند. طبق گزارش شرکت مینروا (Minerva Labs)، این حمله از سد محصولاتی مثل Avira، Eset، Kaspersky، McAfee، Panda، Trend Micro، Symantec و بسیاری ضدویروس‌های دیگر عبور می‌کند. Purple Fox (به معنی روباه بنفش) یک روت‌کیت است که فعالیت آن، اولین بار در سال 2018 مشاهده شد.

فایل نصب کننده بدافزار دارای آیکون آشنای تلگرام و نام Telegram Desktop.exe است که با زبان AutoIt نوشته شده است. نصب کننده، در مسیر C:\Users\Username\AppData\Local\Temp پوشه‌ای به نام TextInputh می‌سازد و دو فایل را درون آن قرار می‌دهد. یکی از این دو فایل، نصب کننده واقعی تلگرام است که اجرا نمی‌شود و دیگری یک دانلودر بدخواه به نام TextInputh.exe است.

دانلودر نامبرده، پوشه جدیدی به نام 1640618495 را در مسیر C:\Users\Public\Videos می‌سازد. در مرحله بعدی حمله، این دانلودر با سرور کنترل و فرمان تماس می‌گیرد (که در زمان انجام تحقیقات، قابل دسترسی نبوده) و دو فایل را به این پوشه جدید دانلود می‌کند. یکی از دو فایل، نرم‌افزار سالمی برای کار با آرشیوهای 7z است. فایل دیگر، یک آرشیو RAR به نام 1.rar است.

فایل 1.rar حاوی فایل‌های پیلود و پیکربندی است. برنامه 7z مذکور، آن را درون پوشه ProgramData بازگشایی می‌کند. سپس TextInputh.exe اقدامات زیر را انجام می‌دهد:

  • فایل tct را با نام 360.dll، و همچنین فایل‌های rundll3222.exe و svchost.txt را به پوشه ProgramData کپی می‌کند.
  • فایل exe را به شکل دستور objk.exe -a خط فرمان اجرا می‌کند.
  • فایل‌های rar و 7zz.exe را پاک می‌کند و پردازه (process) را پایان می‌دهد.

سپس، برای حفظ ماندگاری، یک کلید رجیستری ایجاد می‌شود. یک فایل dll (rundll3222.dll) نیز، UAC را غیرفعال می‌کند. ویژگی UAC (User Account Control)، یک ویژگی امنیتی در ویندوز است که هدف آن جلوگیری از ایجاد تغییرات در سیستم عامل توسط کاربران یا اپلیکیشن‌های غیرمجاز است. در ادامه، این پنج فایل روی سیستم آلوده قرار می‌گیرند:

 

  • Calldriver.exe
  • Driver.sys
  • dll.dll
  • kill.bat
  • speedmem2.hg

این پنج فایل با کمک یکدیگر پردازه‌های ضدویروس 360 AV را حذف می‌کنند یا از شروع آنها جلوگیری می‌کنند. در نتیجه، به ابزارهای مربوط به مراحل بعدی حمله (که در اینجا روت‌کیت Purple Fox است)، امکان اجرا می‌دهند. در گزارش مینروا آمده است: زیبایی این حمله این است که هر مرحله در یک فایل جداگانه قرار گرفته است که بدون سایر فایل‌ها بلااستفاده است. این به مهاجم کمک می‌کند فایل‌های خود را از شناسایی توسط ضدویروس مصون بدارد.

پس از مسدود کردن 360 AV، بدافزار اطلاعات زیر را جمع‌آوری می‌کند، بررسی می‌کند که آیا برخی ابزارهای خاص امنیتی در حال اجرا هستند یا خیر، و سپس همه این اطلاعات را به سرور C2 می‌فرستد.

  • Hostname
  • CPU
  • وضعیت حافظه
  • نوع درایو
  • نوع پردازنده

شرکت مینروا تعداد زیادی از نصب کننده‌های بدخواه را کشف کرده است که همین نسخه روت‌کیت Purple Fox را از طریق همین زنجیره حمله نصب می‌کنند. هنوز نحوه توزیع شدن این بدافزار کاملاً مشخص نیست، اما تحلیلگران معتقد اند که احتمالاً از ایمیل یا وب‌سایت‌های فیشینگ استفاده شده است.

 

منبع: threat post

کلمات کلیدی