idNSA.id – Hacker menggunakan penginstal yang dipersenjatai dari aplikasi perpesanan Telegram untuk mengirimkan backdoor Purple Fox pada sistem Windows.
Peneliti dari Minerva Labs menunjukkan bahwa kampanye ini, tidak seperti kampanye serupa yang memanfaatkan perangkat lunak yang sah untuk mengirimkan malware, memiliki tingkat deteksi yang sangat rendah. Penyelidikan kampanye dimulai dengan penemuan penginstal bersenjata yang dibuat oleh MalwareHunterTeam
“Kami sering mengamati penyerang menggunakan perangkat lunak yang sah untuk menggunakan file berbahaya. Namun kali ini berbeda. Pelaku ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan menjadi beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin AV, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox.” membaca analisis yang diterbitkan oleh Minerva Labs.
Malware Purple Fox pertama kali ditemukan pada Maret 2018, didistribusikan dalam bentuk paket ".msi" berbahaya yang ditemukan oleh para ahli di hampir 2.000 server Windows yang disusupi. Installer akan mengekstrak muatan dan mendekripsinya dari dalam paket MSI. Pada bulan Maret 2021, peneliti dari Guardicore telah melihat varian baru malware Purple Fox Windows yang mengimplementasikan kemampuan propagasi seperti worm.
Installer yang dianalisis oleh peneliti Minerva Labs adalah skrip AutoIt yang dikompilasi (bahasa skrip mirip BASIC freeware yang dirancang untuk mengotomatisasi GUI Windows dan skrip umum) bernama "Telegram Desktop.exe."
Setelah menjalankan skrip, itu membuat folder baru bernama "TextInputh" di bawah C:\Users\Username\AppData\Local\Temp\ dan meletakan installer Telegram yang sah dan downloader berbahaya (TextInputh.exe).
Saat dijalankan, TextInputh.exe membuat folder bernama “1640618495” di bawah direktori C:\Users\Public\Videos\, lalu mengunduh file berikut dari C2 ke folder yang baru dibuat:
1.rar – yang berisi file untuk tahap selanjutnya. 7zz.exe – pengarsip 7z yang sah.
7zz.exe digunakan untuk membuka arsip 1.rar, yang berisi file-file berikut:
Kemudian TextInputh.exe melakukan tindakan berikut:
Salin 360.tct dengan nama “360.dll”, rundll3222.exe, dan svchost.txt ke folder ProgramData
Jalankan ojbk.exe dengan baris perintah "ojbk.exe -a"
Menghapus 1.rar dan 7zz.exe dan keluar dari proses ojbk.exe
"Ketika dieksekusi dengan argumen "-a", file ini hanya digunakan untuk memuat file 360.dll berbahaya secara reflektif" melanjutkan analisis.
Rantai serangan berlanjut dengan meletakan lima file lagi ke dalam folder ProgramData:
Calldriver.exe – file ini digunakan untuk mematikan dan memblokir inisiasi 360 AV
Driver.sys – setelah file ini dijatuhkan, layanan driver sistem baru bernama “Driver” dibuat dan dimulai pada PC yang terinfeksi dan bmd.txt dibuat di folder ProgramData
dll.dll – dieksekusi setelah bypass UAC.T
kill.bat – skrip batch yang dijalankan setelah file drop berakhir.
speedmem2.hg – file SQLite
File di atas digunakan untuk memblokir inisiasi proses 360 AV dan mencegah deteksi muatan akhir, pintu belakang Rubah Ungu.
Kemudian malware mengumpulkan informasi sistem dasar, memeriksa alat keamanan apa pun yang berjalan pada sistem yang disusupi, dan mengirimkannya ke C2 yang di-hardcode.
Pada fase terakhir, Purple Fox diunduh dari C2 sebagai file .msi yang berisi shellcode terenkripsi untuk sistem 32 dan 64-bit.
Purple Fox menonaktifkan UAC untuk melakukan berbagai aktivitas berbahaya seperti mematikan proses, dan mengunduh serta menjalankan muatan tambahan.
“Kami menemukan sejumlah besar installer berbahaya yang mengirimkan versi rootkit Purple Fox yang sama menggunakan rantai serangan yang sama. Sepertinya beberapa dikirim melalui email, sementara yang lain kami asumsikan diunduh dari situs web phishing. Keindahan serangan ini adalah bahwa setiap tahap dipisahkan ke file yang berbeda yang tidak berguna tanpa seluruh kumpulan file. Ini membantu penyerang melindungi file-nya dari deteksi AV.” kesimpulan laporan.
