Investigadores advierten sobre el rootkit Purple Fox anidado en instaladores falsos de Telegram
A principios de esta semana, investigadores de la empresa de seguridad israelí Minerva Labs descubrieron una nueva campaña que distribuye el rootkit Purple Fox. Esta vez, los actores de amenazas detrás de la campaña están ocultando el malware en instaladores de clientes de escritorio falsos de Telegram, y lo están haciendo razonablemente bien, según la investigación.
Purple Fox evoluciona una vez más
El malware Purple Fox pasó por varias iteraciones y cambios a lo largo de los años. Descubierto como malware sin archivos con una carga útil de rootkit hace unos años, el malware utilizó varias técnicas de propagación a lo largo del tiempo. Aquellos iban desde la adición de capacidades similares a gusanos y funcionalidad de puerta trasera hasta intentos de ataques de fuerza bruta para bloquear mensajes del servidor.
En esta última campaña, Minerva Labs ha examinado el instalador malicioso llamado Telegram desktop.exe. El equipo descubrió que el ejecutable era en realidad un script compilado con AutoIt, un lenguaje de software gratuito utilizado inicialmente para la automatización en el software de Windows.
El primer paso del ataque es el script que crea una nueva carpeta "TextInputh" en el disco duro de la víctima, ubicada en% localappdata%, en la carpeta Temp. En esa carpeta, se implementa un instalador legítimo de Telegram, pero nunca se ejecuta, junto con un descargador de malware llamado TextInputh.exe.
Tras la ejecución, el descargado crea un nuevo directorio en Users \ Public \ Videos \ y le da una cadena numérica como nombre. Luego, se descargan un archivo .rar comprimido y una herramienta de descompresión 7zip legítima en la nueva carpeta, a través del ejecutable TextInputh, que contacta con los servidores C2 del malware.
El archivo comprimido contiene un ejecutable, un archivo DLL y un archivo svchost.txt. El ejecutable se usa para cargar la DLL, que a su vez lee el archivo txt. El archivo .txt se utiliza para realizar más comprobaciones del registro y para implementar archivos maliciosos adicionales.
Volando bajo el radar
Según Minerva, este enfoque fragmentado y de múltiples archivos que también pasa por una gran cantidad de pasos, es lo que permitió a esta campaña volar relativamente bajo bajo el radar y esquivar la detección durante algún tiempo. Los archivos individuales utilizados en la cadena de infección tienen tasas de detección muy bajas, lo que contribuyó al éxito de la campaña. Según los investigadores, los diferentes conjuntos de archivos fragmentados son "inútiles" por sí mismos, pero funcionan cuando se junta todo el conjunto.