악성 텔레그램 설치 프로그램을 통해 배포되는 Purple Fox 악성코드 발견

 

Purple Fox malware distributed via malicious Telegram installers

 

데스크톱용 악성 텔레그램 설치 프로그램이 Purple Fox 악성코드를 배포해 감염된 장치에 추가 악성 페이로드를 설치하는 것으로 나타났습니다.

 

설치 프로그램은 컴파일된 AutoIt 스크립트인 "Telegram Desktop.exe"로 실제 텔레그램 설치 프로그램과 악성 다운로더 파일을 드롭합니다.

 

다운로더와 함께 드롭된 합법적인 텔레그램 설치 프로그램은 실행되지 않으며, AutoIT 프로그램은 다운로더(TextInputh.exe)를 실행합니다.

 

 

<이미지 출처 : https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit>

<감염된 기기에 드롭된 파일>

 

 

TextInputh.exe가 실행되면 "C:\Users\Public\Videos\" 아래에 새 폴더("1640618495")가 생성되고 C2에 연결한 후 7z 유틸리티와 RAR 압축파일(1.rar)을 다운로드합니다.

 

해당 압축파일에는 페이로드 및 구성 파일이 들어있으며, 7z 프로그램을 통해 ProgramData 폴더에 압축을 해제합니다.

 

Minerva Labs의 분석에서 자세히 설명된 대로, TextInputh.exe는 해킹된 시스템에서 아래 작업을 수행합니다.

 

"360.dll"라고 이름이 붙은 360.tct 파일, rundll3222.exe, svchost.txt를 ProgramData 폴더에 복사하기

"ojbk.exe -a" 명령줄로 ojbk.exe 실행하기

1.rar 및 7zz.exe를 삭제하고 프로세스를 종료하기

 

 

<이미지 출처 : https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit>

<Purple Fox 감염 플로우>

 

 

다음으로, 지속성을 달성하기 위해 레지스트리 키를 생성하고, DLL(rundll3222.dll)은 UAC를 비활성화하고, 페이로드(scvhost.txt)를 실행한 후 아래 추가 파일 5개를 감염된 시스템에 드롭합니다.

 

Calldriver.exe

Driver.sys

dll.dll

kill.bat

speedmem2.hg

 

이 추가 파일의 목적은 360 AV 프로세스가 시작되는 것을 차단하고 해킹된 시스템에서 Purple Fox가 탐지되는 것을 예방하는 것입니다.

 

그런 다음 악성코드는 기본 시스템 정보를 수집하고, 보안 도구가 실행 중인지 확인한 다음 마지막으로 모든 정보를 하드코딩된 C2 주소로 전송합니다.

 

해당 정찰 프로세스가 완료되면 Purple Fox는 C2에서 32비트 및 64비트 시스템용으로 암호화된 셸코드가 포함된 .msi 파일 형식으로 다운로드됩니다.

 

Purple Fox를 실행하면 새 레지스트리 설정 및 UAC 비활성화를 적용시키기 위해 감염된 시스템을 다시 시작시킵니다.

 

이를 위해 dll.dll 파일은 아래 세 레지스트리 키를 0으로 설정합니다.

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorAdmin

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop

 

 

<이미지 출처 : https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit>

<타깃 시스템에서 UAC를 비활성화하는 DLL>

 

 

UAC 우회를 비활성화할 경우 바이러스 및 악성코드를 포함한 감염된 시스템에서 실행되는 모든 프로그램에 관리자 권한이 부여되기 때문에 매우 치명적입니다.

 

일반적으로 UAC는 앱이 무단으로 설치되는 것과 시스템 설정이 변경되는 것을 방지하기 때문에 항상 활성화된 상태여야 합니다.

 

비활성화할 경우 Purple Fox가 파일 검색 및 유출, 프로세스 종료, 데이터 삭제, 코드 다운로드 및 실행, 다른 윈도우 시스템으로의 워밍 등 악성 행위를 수행할 수 있습니다.

 

현재로서는 이 악성코드가 어떻게 유포되고 있는지 알 수는 없지만, 합법적인 소프트웨어를 사칭하는 유사한 악성코드 캠페인이 유튜브 동영상, 포럼 광고, 불법 소프트웨어 사이트를 통해 유포되고 있었습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.47601563’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/purple-fox-malware-distributed-via-malicious-telegram-installers/

https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit (IOC)