据securityaffairs消息，Minerva实验室日前发现，未知攻击者正使用受感染的 Telegram 安装程序传播Purple Fox （紫狐）恶意程序。

2021年12月25日，安全研究团队Malware Hunter Team发现了一个恶意安装程序。Minerva实验室的研究人员继而展开调查，发现与其他恶意软件的传播方式不同，Purple Fox采取了新传播方式，这令它的隐秘性进一步提高。

“一般而言，攻击者会使用合法的软件安装包来嵌入恶意文件。但这次不同，攻击者将恶意文件分成数个文件以躲避检测，这些文件最终会导致Purple Fox rootkit 感染。”Minerva实验室发布的分析报告中写道。

Purple Fox于 2018 年 3 月首次被发现，并以名为“.msi ”软件包的形式在互联网分发。当时，专家们在近 2000 台受感染的 Windows 服务器上发现了该软件包。2021 年 3 月，Guardicore 的研究人员发现了Purple Fox的全新变种，它进化出了大规模感染服务器的能力。

Purple Fox这次为躲避检测而伪装成 Telegram 安装程序进行大规模传播，经研究发现，其实就是一个名为 "Telegram Desktop.exe"的AutoIt脚本，主要用于自动化windows的GUI程序。

执行脚本后，它会在 C:\Users\Username\AppData\Local\Temp\ 下创建一个名为“TextInputh”的新文件夹，并删除正版 Telegram 安装程序和恶意下载程序 (TextInputh.exe)。

执行时，TextInputh.exe会继续在C:\Users\Public\Videos\目录下创建一个名为“1640618495”的文件夹，然后从C2服务器将“1.rar”、“7zz.exe”文件下载到新建的文件夹中。

然后 TextInputh.exe 执行以下操作：

将带有 "360.dll "名称的360.tct、rundll3222.exe和svchost.txt复制到ProgramData文件夹中。

用“ojbk.exe -a”命令行执行 ojbk.exe

删除1.rar和7zz.exe，退出ojbk.exe进程

“当使用“-a”参数执行时，这个文件只用来反射性地加载恶意的360.dll文件"，报告分析。

之后，以下五个文件将继续被放入 ProgramData 文件夹中。

• exe – 这个文件被用来关闭和阻止 360 AV 的启动
• sys – 删除此文件后，会在受感染的 PC 上创建并启动一个名为“Driver”的新系统驱动程序服务，并在 ProgramData 文件夹中创建 bmd.txt
• dll – 在绕过 UAC 后执行。
• bat – 在文件删除结束后执行的批处理脚本。
• hg – SQLite 文件

上述文件被用来阻止 360 AV 进程的启动，最终阻止检测的有效载荷，也就顺理成章实现了Purple Fox 的后门功能。

然后，该恶意软件收集基本系统信息，检查目标主机上是否有安全防护工具，并将它们的硬编码发送到C2服务器。

最后一步也是最关键的一步，Purple Fox被作为 .msi 文件从 C2 服务器下载，用于系统加密的 shellcode也一并被下载下来。因此，Purple Fox堂而皇之地禁用UAC（用户账户控制），以执行广泛的恶意活动，如杀死进程，下载和执行额外的有效负载等等。

“我们发现大量恶意安装程序使用相同的攻击链，来传递相同的Purple Fox rootkit。有些邮件似乎是通过电子邮件发送的，而另一些我们认为是从钓鱼网站下载的。这种攻击方式的特别之处在于，恶意文件每个阶段都被分离到不同的文件中，如果没有整个文件集，这些文件就毫无用处。这有助于攻击者保护恶意文件免受 AV 检测。” 报告总结道。

参考来源：https://securityaffairs.co/wordpress/126299/cyber-crime/purple-fox-telegram-installer.html