情境示意圖,背景圖片/Photo by Moritz Erken on unsplash

安全廠商發現,名為紫狐(Purple Fox)的惡意軟體近日藉由冒牌的Telegram安裝軟體在網路上散布,並且少有防毒軟體能偵測到。

2018年現身的紫狐(Purple Fox)惡意軟體,它是一隻rootkit,一開始是透過網路釣魚電子郵件及漏洞開採散布,去年安全廠商Guardicore發現紫狐又新增了蠕蟲模組,針對可存取網際網路,又可在內網透過SMB通訊協定互連的電腦,暴力破解帳號密碼,之後植入受害者電腦。

安全廠商MalwareHunterTeam近日發現,Purple Fox又化身名為Telegram Desktop.exe的冒牌程式散布。根據安全廠商Minerva進一步分析,「Telegram Desktop.exe」是以AutoIt腳本程式語言編譯而成,後者主要是用於Windows GUI自動化作業。在進入到受害者電腦後,這AutoIT腳本程式會先建立暫存檔資料夾,丟入合法的Telegram安裝器(installer)程式及惡意下載器(TextInputh.exe)。TextInputh.exe則啟動第二階段的攻擊,像是和外部C&C伺服器建立連線,多階段下載後續惡意檔案,目的在關閉奇虎360的防毒軟體行程,最後下載Purple Fox rootkit。

圖片來源_Minerva

研究人員指出,這波攻擊高明之處在於多階段下載,每個階段都切分成多個看似無用的檔案,而沒有完整的檔案集。這也讓它得以避免眾多防毒工具的偵測。

圖片來源_Minerva

事實上該公司偵測到,近日有許多惡意下載器經由電子郵件、釣魚網站等散布Purple Fox rootkit。不過目前研究人員尚不知Purple Fox rootkit大幅度感染Windows電腦的用意為何,可能將之納入殭屍網路中,用以發動阻斷服務攻擊或散布其他惡意程式。

Minerva研究人員發現它能關閉奇虎360的防毒程式,還會蒐集大量電腦環境資料,包括檢查是否有30多項防毒軟體產品,以及電腦主機名稱、磁碟類型、CPU、處理器、記憶體狀態等,並將資訊傳送到C&C伺服器。

安全廠商也公布了Purple Fox的入侵指標(indicator of compromise)。


熱門新聞

Advertisement