Des fichiers d’installation trojanisés de l’application Telegram Messenger sont utilisés pour distribuer la backdoor « Purple Fox » basée sur Windows (CVE-2020-0674) sur des systèmes compromis.

« Cet acteur de la menace a pu laisser la plupart des parties de l’attaque sous le radar en séparant l’attaque en plusieurs petits fichiers, dont la plupart avaient des taux de détection très faibles par les moteurs [antivirus], l’étape finale menant à l’infection par le rootkit Purple Fox », a déclaré la chercheuse Natalie Zargarov.

L’objectif principal de ce malware est d’exploiter les vulnérabilités afin qu’il puisse exécuter PowerShell pour télécharger des logiciels malveillants supplémentaires sur le système compromis. La façon dont cela fonctionne pour l’infection initiale est que généralement, l’utilisateur visite un site malveillant contenant Purple Fox EK (Exploit Kits). Si l’utilisateur présente des vulnérabilités non corrigées que Purple Fox cible, le logiciel malveillant est téléchargé secrètement pendant que l’utilisateur se trouve sur le site malveillant.

La nouvelle chaîne d’attaque observée par Minerva labs commence avec un fichier d’installation Telegram, un script « AutoIt » qui supprime un programme d’installation légitime pour l’application de chat et un téléchargeur malveillant appelé « TextInputh.exe » qui s’exécute pour récupérer des logiciels malveillants supplémentaires à partir des serveurs du rootkit de commandes et de contrôle (C2).

Par la suite, les fichiers téléchargés bloquent les processus associés à différents moteurs antivirus, avant de passer à l’étape finale qui entraîne le téléchargement et l’exécution du malware à partir d’un serveur distant maintenant fermé.

L’intérêt de cette attaque est que chaque étape est séparée en un fichier différent qui est inutile sans l’ensemble des fichiers.