Purple Fox 惡意軟體藉 Telegram 安裝程式散布
- 發布單位:TWCERT/CC
- 更新日期:2022-01-04
- 點閱次數:2710
資安廠商 Minerva Labs 旗下的資安專家,近期發現一個名為 Purple Fox 的惡意軟體,藉由遭到竄改的 Telegram 社群通訊軟體 Windows 安裝程式散布,可能導致駭侵者進一步在受感染裝置中植入惡意程式碼。
資安專家發現的 Telegram 惡意安裝程式,是一個編譯過的 AutoIt 指令檔,名為「Telegtam Desktop.exe」,內含兩個部分;一個是真正的 Telegram 安裝程式,另一個則是惡意軟體的下載工具。
受害者執行這個遭到竄改的安裝程式時,會同時在用戶的「C:\Users\Public\Videos\」下新增一個名為「1640618495」的資料夾,然後連接到駭侵者設立的控制伺服器,下載一個 7z 工具程式與 RAR 壓縮檔;接著 7z 工具程式就會將壓縮檔中的惡意程式碼檔案解壓縮到用戶電腦的「ProgramData」資料夾中。
用戶的 Windows 登錄檔內,還會新增一個機碼,以常駐執行惡意軟體;另外也會安裝多個檔案,以阻止 UAC 與 360AV 的執行,避免 Purple Fox 遭到發現。
據 Minerva Labs 表示,目前還不清楚 Purple Fox 透過哪些管道散布,但有許多類似假冒正版程式的惡意軟體,會透過 YouTube 影片下的留言、討論區的的垃圾貼文、盜版軟體下載網站等管道來散布。
資安專家呼籲社會大眾,下載安裝軟體時,必須確認是經由官方網站或可信賴的來源進行,不要在可疑的網站或社群空間中點按連結以安裝軟體,以避免遭到惡意軟體攻擊。