Des chercheurs mettent en garde contre le rootkit Purple Fox niché dans de faux installateurs de télégrammes
Plus tôt cette semaine, des chercheurs de la société de sécurité israélienne Minerva Labs ont découvert une nouvelle campagne qui distribue le rootkit Purple Fox. Cette fois, les acteurs de la menace derrière la campagne cachent le malware dans de faux installateurs de clients de bureau Telegram, et le font raisonnablement bien, selon la recherche.
Purple Fox évolue encore une fois
Le malware Purple Fox est passé par plusieurs itérations et changements au fil des ans. Découvert il y a quelques années en tant que malware sans fichier avec une charge utile de rootkit, le malware a utilisé diverses techniques de propagation au fil du temps. Celles-ci allaient de l'ajout de capacités de type ver et de fonctionnalités de porte dérobée à la tentative d'attaques par force brute par blocage de messages sur le serveur.
Dans cette dernière campagne, Minerva Labs a examiné le programme d'installation malveillant nommé Telegram desktop.exe. L'équipe a découvert que l'exécutable était en réalité un script compilé à l'aide d'AutoIt, un langage gratuit initialement utilisé pour l'automatisation dans les logiciels Windows.
La première étape de l'attaque est le script créant un nouveau dossier "TextInputh" sur le disque dur de la victime, situé sous %localappdata%, dans le dossier Temp. Dans ce dossier, un programme d'installation de Telegram légitime est déployé, mais jamais exécuté, ainsi qu'un téléchargeur de logiciels malveillants nommé TextInputh.exe.
Lors de l'exécution, le fichier téléchargé crée un nouveau répertoire sous Users\Public\Videos\ et lui donne une chaîne numérique comme nom. Un fichier .rar compressé et un outil de décompression 7zip légitime sont ensuite téléchargés dans le nouveau dossier, via l'exécutable TextInputh, qui contacte les serveurs C2 du malware.
Le fichier compressé contient un exécutable, un fichier DLL et un fichier svchost.txt. L'exécutable est utilisé pour charger la DLL, qui à son tour lit le fichier txt. Le fichier .txt est utilisé pour d'autres vérifications du registre et le déploiement de fichiers malveillants supplémentaires.
Voler sous le radar
Selon Minerva, cette approche fragmentée et multi-fichiers qui passe également par un grand nombre d'étapes, est ce qui a permis à cette campagne de voler relativement bas sous le radar et d'esquiver la détection pendant un certain temps. Les fichiers individuels utilisés dans la chaîne d'infection ont des taux de détection très faibles, ce qui a contribué au succès de la campagne. Selon les chercheurs, les différents ensembles de fichiers fragmentés sont "inutiles" en eux-mêmes, mais fonctionnent lorsque l'ensemble est assemblé.