小心！假电报应用程序包含在互联网上传播的恶意软件

雅加达 - 假的Telegram即时通讯应用程序目前正在互联网上流传，对于那些没有它的人来说，不要试图下载这个应用程序。

因为，根据网络安全研究员Minerva Labs的一份报告，有人在一次下载中分发了两个文件，用于名为PurpleFox的恶意软件。

独特的是，PurpleFox恶意软件可以通过将攻击分成在雷达下飞行的较小部分来逃避防病毒检测。

PurpleFox攻击设法逃避了Avira，ESET，卡巴斯基，迈克菲，熊猫，趋势科技，赛门铁克等防病毒产品的检测。

"我们经常观察到威胁行为者使用合法软件丢弃恶意文件。但这次不一样。这种威胁的肇事者能够通过将攻击拆分成小文件来将大多数攻击置于雷达之下，其中大多数文件的防病毒引擎的检测率非常低，后期阶段导致紫狐rootkit感染，"研究人员说。

应该注意的是，Minerva Labs使用名为"Telegram Desktop.exe"的编译AutoIt脚本检测安装程序，而合法的是运行下载器的AutoIT程序（TextInputh.exe）。

引用TechRadar，1月5日星期三，该恶意软件将首先扫描设备，禁用任何防御机制，安装一些注册表项，一旦准备就绪，恶意软件将向命令和控制（C2）服务器发出信号，并可以启动下载第二阶段恶意软件。

当TextInputh.exe运行时，它将在"C：\Users\Public\Videos\"下创建一个新文件夹（"1640618495"），并连接到C2以下载7z实用程序和RAR（1.rar）存档。

RAR存档包含有效载荷和配置文件，而7z程序将所有内容解压缩到ProgramData文件夹中。然后.exe文本输入在受感染的设备上执行多项操作。

除其他事项外，将名称为"360.dll"，rundll3222.exe和svchost.txt的360.tct复制到ProgramData文件夹，运行ojbk.exe命令行"ojbk.exe -a"，然后删除1.rar和7zz。exe 并退出进程

然后将这五个额外的文件放到受感染的系统上，即Calldriver.exe，Driver.sys，dll.dll，kill.bat，speedmem2.hg。这五个文件旨在从内核空间中杀死并阻止360个防病毒软件的保护过程的启动，从而允许下一阶段的攻击工具在不被发现的情况下运行。

"这种攻击的美妙之处在于，每个阶段都被分成一个不同的文件，如果没有整个文件集，这是无用的。这有助于攻击者保护他们的文件免受防病毒检测，"Minerva Labs研究员说。

在阻止360防病毒软件后，恶意软件会编译系统信息列表，检查是否正在运行一长串安全工具，最后将所有信息发送到硬编码的C2地址。

供您参考，Purple Fox于2018年首次出现，是一种恶意软件活动，直到2021年3月才需要用户交互或某种第三方工具来感染Windows计算机。

Minerva Labs表示，他们经常遇到大量恶意安装人员，他们使用相同的攻击链发布紫色狐狸rootkit的版本。目前还不完全清楚它是如何分发的，尽管研究人员认为有些是通过电子邮件发送的，而另一些可能是从网络钓鱼网站下载的。