Kötü niyetli bir Telegram for Desktop yükleyicisi, virüslü cihazlara daha fazla kötü amaçlı yük yüklemek için Purple Fox kötü amaçlı yazılımını dağıtır.
Yükleyici, iki dosya, gerçek bir Telegram yükleyici ve kötü amaçlı bir indirici bırakan “Telegram Desktop.exe” adlı derlenmiş bir AutoIt betiğidir.
İndiricinin yanında bırakılan meşru Telegram yükleyicisi yürütülmezken, AutoIT programı indiriciyi (TextInputh.exe) çalıştırır.
TextInputh.exe yürütüldüğünde, “C:UsersPublicVideos” altında yeni bir klasör (“1640618495”) oluşturacak ve bir 7z yardımcı programı ve bir RAR arşivi (1.rar) indirmek için C2’ye bağlanacaktır.
Arşiv, yükü ve yapılandırma dosyalarını içerirken, 7z programı her şeyi ProgramData klasörüne açar.
tarafından bir analizde detaylandırıldığı gibi Minerva Laboratuvarları, TextInputh.exe, güvenliği ihlal edilmiş makinede aşağıdaki eylemleri gerçekleştirir:
- 360.tct dosyasını “360.dll” adıyla, rundll3222.exe ve svchost.txt ile ProgramData klasörüne kopyalar
- “ojbk.exe -a” komut satırı ile ojbk.exe’yi yürütür
- 1.rar ve 7zz.exe’yi siler ve işlemden çıkar
Ardından, kalıcılık için bir kayıt defteri anahtarı oluşturulur, bir DLL (rundll3222.dll) UAC’yi devre dışı bırakır, yük (scvhost.txt) yürütülür ve aşağıdaki beş ek dosya virüslü sisteme bırakılır:
- Calldriver.exe
- Driver.sys
- dll.dll
- öldür.bat
- speedmem2.hg
Bu ekstra dosyaların amacı, 360 AV işlemlerinin başlatılmasını toplu olarak engellemek ve güvenliği ihlal edilmiş makinede Purple Fox’un algılanmasını önlemektir.
Kötü amaçlı yazılım için bir sonraki adım, temel sistem bilgilerini toplamak, üzerinde herhangi bir güvenlik aracının çalışıp çalışmadığını kontrol etmek ve son olarak tüm bunları sabit kodlanmış bir C2 adresine göndermektir.
Bu keşif işlemi tamamlandıktan sonra Purple Fox, hem 32 hem de 64 bit sistemler için şifrelenmiş kabuk kodunu içeren bir .msi dosyası biçiminde C2’den indirilir.
Purple Fox yürütüldüğünde, yeni kayıt defteri ayarlarının, en önemlisi, devre dışı bırakılmış Kullanıcı Hesabı Denetimi’nin (UAC) etkinleşmesi için virüslü makine yeniden başlatılacaktır.
Bunu başarmak için, dll.dll dosyası aşağıdaki üç kayıt defteri anahtarını 0’a ayarlar:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem ConsentPromptBehaviorAdmin
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemEnableLUA
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemPromptOnSecureDesktop
devre dışı bırakma UAC’yi atlayarak virüsler de dahil olmak üzere virüslü sistemde çalışan herhangi bir programı sağladığı için hayati önem taşır. ve kötü amaçlı yazılım, Yönetici ayrıcalıkları.
Genel olarak, UAC, uygulamaların yetkisiz yüklenmesini veya sistem ayarlarının değiştirilmesini önler, bu nedenle Windows’ta her zaman etkin kalmalıdır.
Devre dışı bırakılması, Purple Fox’un dosya arama ve sızdırma, işlem öldürme, veri silme gibi kötü amaçlı işlevleri gerçekleştirmesine izin verir. kod indirme ve çalıştırma, ve hatta diğer Windows sistemlerine worming.
Şu anda, kötü amaçlı yazılımın nasıl dağıtıldığı bilinmiyor, ancak meşru yazılımı taklit eden benzer kötü amaçlı yazılım kampanyaları YouTube videoları, forum spam’i ve gölgeli yazılım siteleri aracılığıyla dağıtıldı.