【安全资讯】恶意Telegram安装程序分发Purple Fox恶意软件

引言

近日，一个桌面版的恶意 Telegram 安装程序正在分发 Purple Fox 恶意软件，以在受感染设备上安装更多恶意负载。

简况

恶意的安装程序是一个名为“Telegram Desktop.exe”编译后的 AutoIt 脚本，它会释放两个文件，一个实际的 Telegram 安装程序和一个恶意下载程序。

当 TextInputh.exe 被执行时，它会在“C:\Users\Public\Videos\”下创建一个新文件夹“1640618495”，并连接到 C2 下载一个 7z 程序和一个 RAR 存档（1.rar）文件。

RAR存档中包含有效负载和配置文件，而 7z 程序则将所有内容解压缩到 ProgramData 文件夹中。

TextInputh.exe 程序对受感染的机器执行以下操作：

• 将名称为“360.dll”的360.tct、rundll3222.exe、svchost.txt复制到ProgramData文件夹中
• 使用“ojbk.exe -a”命令执行 ojbk.exe
• 删除1.rar和7zz.exe并退出进程

恶意软件的下一步操作是收集系统的基本信息，检查是否有任何安全工具在其上运行，最后将所有信息发送到硬编码的 C2 地址。一旦侦察过程完成，Purple Fox 就会以 .msi 文件的形式从 C2 下载，该文件包含适用于 32 位和 64 位系统的加密 shellcode。

执行 Purple Fox 后，受感染的机器将重新启动以使新的注册表设置生效，最重要的是，禁用的用户帐户控制 (UAC)。

目前，尚不清楚恶意软件的分发方式，但冒充合法软件的类似恶意软件活动已通过 YouTube 视频、论坛垃圾邮件和可疑软件站点分发。