日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
惡意軟件PurpleFox偽裝成Telegram安裝程序傳播

據(jù)securityaffairs消息,Minerva實(shí)驗(yàn)室日前發(fā)現(xiàn),未知攻擊者正使用受感染的 Telegram 安裝程序傳播Purple Fox (紫狐)惡意程序。

2021年12月25日,安全研究團(tuán)隊(duì)Malware Hunter Team發(fā)現(xiàn)了一個(gè)惡意安裝程序。Minerva實(shí)驗(yàn)室的研究人員繼而展開調(diào)查,發(fā)現(xiàn)與其他惡意軟件的傳播方式不同,Purple Fox采取了新傳播方式,這令它的隱秘性進(jìn)一步提高。

“一般而言,攻擊者會(huì)使用合法的軟件安裝包來嵌入惡意文件。但這次不同,攻擊者將惡意文件分成數(shù)個(gè)文件以躲避檢測,這些文件最終會(huì)導(dǎo)致Purple Fox rootkit 感染?!盡inerva實(shí)驗(yàn)室發(fā)布的分析報(bào)告中寫道。

Purple Fox于 2018 年 3 月首次被發(fā)現(xiàn),并以名為“.msi ”軟件包的形式在互聯(lián)網(wǎng)分發(fā)。當(dāng)時(shí),專家們在近 2000 臺(tái)受感染的 Windows 服務(wù)器上發(fā)現(xiàn)了該軟件包。2021 年 3 月,Guardicore 的研究人員發(fā)現(xiàn)了Purple Fox的全新變種,它進(jìn)化出了大規(guī)模感染服務(wù)器的能力。

Purple Fox這次為躲避檢測而偽裝成 Telegram 安裝程序進(jìn)行大規(guī)模傳播,經(jīng)研究發(fā)現(xiàn),其實(shí)就是一個(gè)名為 "Telegram Desktop.exe"的AutoIt腳本,主要用于自動(dòng)化windows的GUI程序。

執(zhí)行腳本后,它會(huì)在 C:\Users\Username\AppData\Local\Temp\ 下創(chuàng)建一個(gè)名為“TextInputh”的新文件夾,并刪除正版 Telegram 安裝程序和惡意下載程序 (TextInputh.exe)。

執(zhí)行時(shí),TextInputh.exe會(huì)繼續(xù)在C:\Users\Public\Videos\目錄下創(chuàng)建一個(gè)名為“1640618495”的文件夾,然后從C2服務(wù)器將“1.rar”、“7zz.exe”文件下載到新建的文件夾中。

然后 TextInputh.exe 執(zhí)行以下操作:

  • 將帶有 "360.dll "名稱的360.tct、rundll3222.exe和svchost.txt復(fù)制到ProgramData文件夾中。
  • 用“ojbk.exe -a”命令行執(zhí)行 ojbk.exe
  • 刪除1.rar和7zz.exe,退出ojbk.exe進(jìn)程

“當(dāng)使用“-a”參數(shù)執(zhí)行時(shí),這個(gè)文件只用來反射性地加載惡意的360.dll文件",報(bào)告分析。

之后,以下五個(gè)文件將繼續(xù)被放入 ProgramData 文件夾中。

  • exe – 這個(gè)文件被用來關(guān)閉和阻止 360 AV 的啟動(dòng)
  • sys – 刪除此文件后,會(huì)在受感染的 PC 上創(chuàng)建并啟動(dòng)一個(gè)名為“Driver”的新系統(tǒng)驅(qū)動(dòng)程序服務(wù),并在 ProgramData 文件夾中創(chuàng)建 bmd.txt
  • dll – 在繞過 UAC 后執(zhí)行。
  • bat – 在文件刪除結(jié)束后執(zhí)行的批處理腳本。
  • hg – SQLite 文件

上述文件被用來阻止 360 AV 進(jìn)程的啟動(dòng),最終阻止檢測的有效載荷,也就順理成章實(shí)現(xiàn)了Purple Fox 的后門功能。

然后,該惡意軟件收集基本系統(tǒng)信息,檢查目標(biāo)主機(jī)上是否有安全防護(hù)工具,并將它們的硬編碼發(fā)送到C2服務(wù)器。

最后一步也是最關(guān)鍵的一步,Purple Fox被作為 .msi 文件從 C2 服務(wù)器下載,用于系統(tǒng)加密的 shellcode也一并被下載下來。因此,Purple Fox堂而皇之地禁用UAC(用戶賬戶控制),以執(zhí)行廣泛的惡意活動(dòng),如殺死進(jìn)程,下載和執(zhí)行額外的有效負(fù)載等等。

“我們發(fā)現(xiàn)大量惡意安裝程序使用相同的攻擊鏈,來傳遞相同的Purple Fox rootkit。有些郵件似乎是通過電子郵件發(fā)送的,而另一些我們認(rèn)為是從釣魚網(wǎng)站下載的。這種攻擊方式的特別之處在于,惡意文件每個(gè)階段都被分離到不同的文件中,如果沒有整個(gè)文件集,這些文件就毫無用處。這有助于攻擊者保護(hù)惡意文件免受 AV 檢測?!?報(bào)告總結(jié)道。

參考來源:https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html


網(wǎng)頁標(biāo)題:惡意軟件PurpleFox偽裝成Telegram安裝程序傳播
網(wǎng)站URL:http://www.5511xx.com/article/dhghesh.html