Rootkit Purple Fox in manipulierten Telegram-Installationsdateien entdeckt

Das Cybersecurity-Team von Minerva Labs hat in Zusammenarbeit mit MalwareHunterTeam festgestellt, dass Hacker das Rookit Purple Fox in einer Datei namens „Telegram Desktop.exe“ verstecken. Diejenigen, die glauben, dass sie den beliebten Messaging-Dienst installieren, werden stattdessen mit der Malware infiziert.

Purple Fox wurde erstmals im Jahr 2018 entdeckt und über verschiedene Wege verbreitet, darunter Phishing-E-Mails, bösartige Links und Exploit-Kits. In den letzten Jahren haben sich die Verbreitungsmethoden jedoch ausgeweitet und umfassen nun auch die Kompromittierung anfälliger Internetdienste, exponierte SMB-Dienste und gefälschte Installationsprogramme.

Der bösartige Telegram-Installer wurde als kompiliertes AutoIt-Skript entwickelt. Bei der Ausführung wird ein legitimes Telegram-Installationsprogramm zusammen mit einem bösartigen Downloader namens TextInputh.exe abgelegt – aber nie verwendet.

Der Angriff wird dann in mehrere kleine Dateien aufgeteilt, eine Technik, die es dem Bedrohungsakteur laut Minerva ermöglichte, unter dem Radar zu bleiben. Die meisten der Dateien „hatten sehr niedrige Erkennungsraten durch AV-Engines, wobei die letzte Stufe zu einer Purple Fox Rootkit-Infektion führte“, so die Forscher.

Purple Fox ist sowohl in einer 32-Bit- als auch in einer 64-Bit-Windows-Variante erhältlich. Im März letzten Jahres stellte Guardicore Labs fest, dass neue Wurmfunktionen in die Malware integriert und Tausende anfälliger Server gekapert worden waren, um Purple-Fox-Malwaredateien zu hosten.