• 發布單位:TWCERT/CC
• 更新日期:2022-01-04
• 點閱次數:272

資安廠商 Minerva Labs 旗下的資安專家，近期發現一個名為 Purple Fox 的惡意軟體，藉由遭到竄改的 Telegram 社群通訊軟體 Windows 安裝程式散布，可能導致駭侵者進一步在受感染裝置中植入惡意程式碼。

資安專家發現的 Telegram 惡意安裝程式，是一個編譯過的 AutoIt 指令檔，名為「Telegtam Desktop.exe」，內含兩個部分；一個是真正的 Telegram 安裝程式，另一個則是惡意軟體的下載工具。

受害者執行這個遭到竄改的安裝程式時，會同時在用戶的「C:\Users\Public\Videos\」下新增一個名為「1640618495」的資料夾，然後連接到駭侵者設立的控制伺服器，下載一個 7z 工具程式與 RAR 壓縮檔；接著 7z 工具程式就會將壓縮檔中的惡意程式碼檔案解壓縮到用戶電腦的「ProgramData」資料夾中。

用戶的 Windows 登錄檔內，還會新增一個機碼，以常駐執行惡意軟體；另外也會安裝多個檔案，以阻止 UAC 與 360AV 的執行，避免 Purple Fox 遭到發現。

據 Minerva Labs 表示，目前還不清楚 Purple Fox 透過哪些管道散布，但有許多類似假冒正版程式的惡意軟體，會透過 YouTube 影片下的留言、討論區的的垃圾貼文、盜版軟體下載網站等管道來散布。

資安專家呼籲社會大眾，下載安裝軟體時，必須確認是經由官方網站或可信賴的來源進行，不要在可疑的網站或社群空間中點按連結以安裝軟體，以避免遭到惡意軟體攻擊。