注意深い！偽の電報アプリケーションは、インターネット上で流通マルウェアが含まれています

ジャカルタ - 偽のTelegramインスタントメッセージングアプリケーションは、現在、それを持っていない人のために、インターネット上で流通している、このアプリケーションをダウンロードするように誘惑しようとしないでください。

なぜなら、サイバーセキュリティ研究者Minerva Labsの報告によると、誰かがPurpleFoxと呼ばれるマルウェアのために1つのダウンロードで2つのファイルを配布しているからです。

独自に, PurpleFox マルウェアは、レーダーの下を飛ぶ小さな部分に攻撃を分割することにより、ウイルス対策の検出を回避することができます.

PurpleFox攻撃は、アヴィラ、ESET、カスペルスキー、マカフィー、パンダ、トレンドマイクロ、シマンテック、および多くのようなアンチウイルス製品による検出を回避することができました。

「私たちは、悪意のあるファイルをドロップする正当なソフトウェアを使用して脅威アクターを頻繁に観察します。しかし、今回は違いました。「この脅威の加害者は、攻撃を小さなファイルに分割することでレーダーの下のほとんどの攻撃を残すことができたが、そのほとんどはアンチウイルスエンジンによる検出率が非常に低く、後期段階はパープルフォックスのルートキット感染につながった」と研究者は述べた。

Minerva Labs は「電報デスクトップ.exeという名前のコンパイル済みの AutoIt スクリプトを使用してインストーラを検出し、正当なスクリプトはダウンローダを実行している AutoIT プログラム (TextInputhh.exe です。

TechRadar、1月5日(水)を引用して、このマルウェアは最初にデバイスをスキャンし、防御メカニズムを無効にし、いくつかのレジストリエントリをインストールし、準備ができたら、マルウェアはコマンドとコントロール(C2)サーバに信号を送り、ステージ2のマルウェアをダウンロードすることができます。

TextInputh.exe を実行すると、"C:\ユーザー\Public\Videos\" の下に新しいフォルダー (「1640618495」) が作成され、C2 に接続して 7z ユーティリティと RAR (1.rar) アーカイブがダウンロードされます。

RARアーカイブにはペイロードと設定ファイルが含まれ、7zプログラムはProgramDataフォルダにすべてを解凍します。次に.exe感染したデバイスで複数のアクションを実行します。

特に、360.tct を ProgramData フォルダにコピーして、360.tct をコピーします360.dll、rundll3222.exe、svchost.txt、コマンド ライン "ojbk.exe -a" を使用して ojbk.exe を実行し、1.rarと 7zz を削除します。exe を実行し、プロセスを終了します。

そして、感染したシステム、すなわちCalldriver.exe、.sys ドライバ、dll.dll、.dll、kill.bat、speedmem2.hgにこれらの5つの追加ファイルをドロップしました。5つのファイルは、カーネル空間から360のアンチウイルスの保護プロセスの開始を殺し、ブロックすることを目的としているため、攻撃ツールの次の段階は検出されずに実行されます。

「この攻撃の美しさは、各ステージがファイル全体を設定せずに役に立たない別のファイルに分かれているということです。これにより、攻撃者はウイルス対策検出からファイルを保護できます」と Minerva Labs の研究者は述べています。

360のアンチウイルスをブロックした後、マルウェアはシステム情報のリストをコンパイルし、セキュリティツールの長いリストが実行されているかどうかを確認し、最後にすべての情報をハードコードされたC2アドレスに送信します。

ご参考までに、2018年に初めて登場したPurple Foxは、2021年3月までWindowsマシンに感染するためにユーザーインタラクションまたは何らかのサードパーティ製ツールが必要なマルウェアキャンペーンです。

Minerva Labsは、同じ攻撃チェーンを使用してパープルフォックスルートキットのバージョンを出荷する悪意のあるインストーラが多数頻繁に発生すると述べています。それがどのように配布されたかは完全には明らかではありませんが、研究者は電子メールで送信された人もいれば、フィッシングサイトからダウンロードされたものもあります。