Ένα κακόβουλο Telegram for Desktop installer φαίνεται πως διανέμει το Purple Fox malware για να εγκαταστήσει περαιτέρω κακόβουλα payloads σε μολυσμένες συσκευές.
Το installer είναι ένα compiled AutoIt script με το όνομα “Telegram Desktop.exe” που εγκαθιστά δύο αρχεία: ένα πραγματικό Telegram installer και ένα κακόβουλο downloader.
Δείτε επίσης: Μην κάνετε copy-paste commands από webpages
Ωστόσο, το νόμιμο Telegram installer δεν εκτελείται. Το AutoIT εκτελεί μόνο το κακόβουλο downloader (TextInputh.exe) στο μηχάνημα-στόχο.
Όταν εκτελείται το TextInputh.exe, δημιουργεί έναν νέο φάκελο (“1640618495“) στο “C:\Users\Public\Videos\” και συνδέεται στο C2 για λήψη ενός 7z utility και ενός RAR archive (1.rar).
Το archive περιέχει το payload και τα configuration files, ενώ το 7z program κάνει τα πάντα unpack στο φάκελο ProgramData.
Ερευνητές από τη Minerva Labs, εξηγούν ότι το TextInputh.exe επιτρέπει τις ακόλουθες ενέργειες στο μολυσμένο μηχάνημα:
- Αντιγράφει το 360.tct με όνομα “360.dll”, rundll3222.exe και svchost.txt στο φάκελο ProgramData
- Εκτελεί το ojbk.exe με το “ojbk.exe -a” command line
- Διαγράφει τα 1.rar και 7zz.exe και τερματίζει διαδικασία
Στη συνέχεια, δημιουργείται ένα registry key για persistence, ένα DLL (rundll3222.dll) απενεργοποιεί το UAC, εκτελείται το payload (scvhost.txt) και γίνεται εγκατάσταση των παρακάτω πέντε αρχείων στο μολυσμένο σύστημα:
- Calldriver.exe
- Driver.sys
- dll.dll
- kill.bat
- speedmem2.hg
Αυτά τα πρόσθετα αρχεία χρησιμοποιούνται για το μπλοκάρισμα 360 AV processes και για την αποτροπή ανίχνευσης του Purple Fox στο παραβιασμένο μηχάνημα.
Δείτε επίσης: Uber: Aγνοεί ευπάθεια που επιτρέπει αποστολή email από το Uber.com
Μετά από τα παραπάνω βήματα, το κακόβουλο λογισμικό είναι σε θέση να συγκεντρώσει βασικές πληροφορίες συστήματος, να ελέγξει εάν εκτελούνται εργαλεία ασφαλείας και, τέλος, να στείλει όλα αυτά τα στοιχεία σε ένα hardcoded C2 address.
Μόλις ολοκληρωθεί αυτή η διαδικασία reconnaissance, γίνεται λήψη του Purple Fox από το C2 με τη μορφή ενός αρχείου .msi που περιέχει κρυπτογραφημένο shellcode τόσο για συστήματα 32 bit όσο και για συστήματα 64 bit.
Μετά την εκτέλεση του Purple Fox malware, το μολυσμένο μηχάνημα κάνει επανεκκίνηση για να τεθούν σε ισχύ τα νέα registry settings, και κυρίως το απενεργοποιημένο User Account Control (UAC).
Για να επιτευχθεί αυτό, το αρχείο dll.dll ορίζει τα ακόλουθα τρία registry keys σε 0:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorAdmin
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
Η απενεργοποίηση του UAC είναι ζωτικής σημασίας, διότι παρέχει σε οποιοδήποτε πρόγραμμα, συμπεριλαμβανομένων ιών και κακόβουλου λογισμικού, δικαιώματα διαχειριστή.
Δείτε επίσης: Microsoft: Επείγουσα επιδιόρθωση για σφάλμα του 2022 στο Exchange
Γενικά, το UAC αποτρέπει τη μη εξουσιοδοτημένη εγκατάσταση εφαρμογών ή την αλλαγή των ρυθμίσεων του συστήματος, επομένως πρέπει να παραμένει ενεργό στα Windows.
Η απενεργοποίησή του επιτρέπει στο Purple Fox malware να εκτελεί κακόβουλες δραστηριότητες, όπως αναζήτηση και κλοπή αρχείων, τερματισμό διαφόρων διεργασιών, διαγραφή δεδομένων, λήψη και εκτέλεση κώδικα. Επίσης, μπορεί να επιτρέψει την εξάπλωση σε άλλα συστήματα Windows.
Διαβάστε την έκθεση της Minerva Labs για να μάθετε περισσότερες λεπτομέρειες.
Πηγή: Bleeping Computer