A penginstal aplikasi pesan instan Telegram berbahaya bergegas melewati banyak mesin antivirus (AV) untuk mengirimkan malware Purple Fox, menghindari deteksi dengan memisahkan serangan menjadi potongan kecil yang terbang di bawah radar.
Dalam laporan Senin, Minerva Labs mengatakan bahwa serangan menghindari deteksi oleh produk AV seperti Avira, ESET, Kaspersky, McAfee, Panda, Trend Micro, Symantec dan banyak lagi.
“Kami sering mengamati pelaku ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya,” tulis analis. “Namun kali ini berbeda. Pelaku ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan menjadi beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox. installer, dengan ikon Telegram yang familiar dari pesawat kertas putih, sebenarnya adalah skrip AutoIt yang dikompilasi yang disebut "Telegram Desktop.exe." Penginstal membuat folder baru bernama "TextInputh" di bawah C:UsersUsernameAppDataLocalTemp. Itu menjatuhkan dua file ke dalam folder: penginstal Telegram yang sebenarnya (yang tidak dieksekusi), dan pengunduh berbahaya, TextInputh.exe.
Files dijatuhkan oleh AutoIT yang dikompilasi. Sumber: Minerva Labs.
Pengunduh berbahaya, TextInputh.exe, membuat folder baru bernama “1640618495” di bawah direktori C:UsersPublicVideos. Pada tahap serangan berikutnya, executable menghubungi server command-and-control (C2) – C2 yang sudah tidak aktif pada saat investigasi – dan mengunduh dua file ke folder baru: pengarsip 7z yang sah dan RAR arsip (1.rar).
Arsip 1.rar berisi payload dan file konfigurasi, seperti yang ditunjukkan pada gambar di bawah. Program 7z membongkar semuanya ke folder ProgramData.
Files yang ada di 1.rar. Sumber: Minerva Labs.
TextInputh.exe kemudian melakukan tindakan ini pada mesin yang terinfeksi:
- Copies 360.tct dengan nama "360.dll", rundll3222.exe dan svchost.txt ke folder ProgramDataExecutes ojbk.exe dengan "ojbk.exe -a ” command lineDeletes 1.rar dan 7zz.exe dan keluar dari proses
Selanjutnya, kunci registri dibuat untuk ketekunan, DLL (rundll3222.dll) menonaktifkan Kontrol Keamanan Penghambat Akun Pengguna (UAC) Microsoft, payload (svchost.txt) dijalankan, dan lima file tambahan ini dijatuhkan ke sistem yang terinfeksi:
Calldriver.exeDriver.sysdll.dllkill.batspeedmem2.hg
UAC adalah fitur keamanan Windows yang dirancang untuk mencegah perubahan pada sistem operasi oleh pengguna, aplikasi yang tidak sah atau malware. Melewati UAC adalah fungsi utama yang secara teratur dikodekan ke dalam perangkat lunak jahat. Dengan UAC keluar dari gambar, program apa pun yang berjalan pada sistem yang terinfeksi – termasuk virus dan malware – bebas untuk mendapatkan hak administrator.
File Kecil Cluster-Block 360 AV
Lima file yang terbang di bawah radar “bekerja sama untuk mematikan dan memblokir inisiasi proses 360 AV dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya (rootkit Ungu Fox, dalam kasus kami) untuk berjalan tanpa terdeteksi,” menurut writeup Minerva Labs.
“Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file berbeda yang tidak berguna tanpa seluruh kumpulan file, ”menurut laporan itu. “Ini membantu penyerang melindungi file-nya dari deteksi AV.”
Setelah memblokir 360 AV, malware kemudian mengumpulkan daftar informasi sistem berikut, memeriksa untuk melihat apakah daftar panjang alat keamanan sedang berjalan, dan, akhirnya, mengirimkan semua informasi ke alamat C2 hardcode.
HostnameCPU – dengan mengambil nilai HKLMHARDWAREDESCRIPTIONSystemCentralProcessor ~MHz registry keyMemory statusDrive TypeProcessor Type – dengan memanggil GetNativeSystemInfo dan memeriksa nilai dari wProcessorArchitecture.li Ungu Terbaru Fox
Purple Fox, yang pertama kali muncul pada tahun 2018, adalah kampanye malware yang hingga Maret memerlukan interaksi pengguna atau semacam alat pihak ketiga untuk menginfeksi mesin Windows. Musim semi lalu, para penyerang di balik kampanye ini melewatkan penopang itu dengan memberdayakan malware dengan kemampuan untuk secara brutal masuk ke sistem korban dengan sendirinya, menurut penelitian dari Guardicore Labs. Pada saat yang sama, Rubah Ungu dilengkapi dengan rootkit yang memungkinkannya untuk bersembunyi, menghindari deteksi, dan membangun kegigihan.
Minerva Labs mengatakan bahwa mereka menemukan sejumlah besar penginstal jahat yang mengirimkan versi rootkit Rubah Ungu yang sama menggunakan rantai serangan yang sama. Tidak sepenuhnya jelas bagaimana itu didistribusikan, meskipun analis percaya bahwa beberapa dikirim melalui email, sementara yang lain mungkin diunduh dari situs phishing.
