谨防假冒的Telegram Messenger应用程序使用紫色福克斯恶意软件入侵个人电脑

Telegram messaging应用程序的特洛伊木马安装程序被用来在受损系统上分发基于Windows的Purple Fox后门。

这是根据Minerva实验室发表的最新研究报告得出的结论。该研究报告称，这种攻击不同于通常利用合法软件投放恶意有效载荷的入侵。

研究人员娜塔莉·扎尔加洛夫说：“这个威胁参与者能够通过将攻击分为几个小文件，将攻击的大部分内容置于雷达之下，其中大多数文件的[防病毒]引擎检测率非常低，最后阶段导致紫狐rootkit感染。”。

Purple Fox于2018年首次被发现，它具有rootkit功能，可以将恶意软件植入安全解决方案无法触及的范围之外，并逃避检测。2021年3月，GualDiCo的报告详细描述了蠕虫传播特性，使后门传播得更快。

然后在2021年10月，趋势研究人员发现了一个。NET植入被称为FoxSocket，与Purple Fox一起部署，后者利用WebSocket联系其指挥与控制（C2）服务器，以获得更安全的通信方式。

研究人员指出：“紫狐的rootkit功能使其能够以更隐蔽的方式实现其目标。”。“它们允许紫狐在受影响的系统上持续存在，并向受影响的系统提供进一步的有效载荷。”

最后但并非最不重要的是，在2021年12月，趋势显微镜还揭示了紫色狐感染链的后期阶段，这涉及到通过插入恶意的SQL公共语言运行库（CLR）模块来实现SQL数据库，以实现持久和隐秘的执行，并最终滥用SQL服务器进行非法加密的挖掘。

Minerva观察到的新攻击链始于一个Telegram安装程序文件、一个删除聊天应用程序合法安装程序的AutoIt脚本和一个名为“TextInputh.exe”的恶意下载程序，后者被执行以从C2服务器检索下一阶段的恶意软件。

随后，下载的文件继续阻止与不同防病毒引擎相关的进程，然后进入最后阶段，从现已关闭的远程服务器下载并执行Purple Fox rootkit。

“我们发现大量恶意安装程序使用相同的攻击链提供相同的Purple Fox rootkit版本，”Zargarov说。“看起来有些是通过电子邮件发送的，而另一些我们认为是从钓鱼网站下载的。这种攻击的美妙之处在于，每个阶段都被分离到一个不同的文件，如果没有完整的文件集，这些文件是无用的。”