Haberler

Purple Fox Kötü Amaçlı Yazılımı Telegram Yükleyicileri ile Yayılıyor

Kötü amaçlı bir Telegram for Desktop yükleyicisi, virüslü cihazlara daha fazla kötü amaçlı yük bulaştırmak için Purple Fox kötü amaçlı yazılımını dağıtıyor..

“Telegram Desktop.exe” adlı bir script olan yükleyici, gerçek ve zararsız bir Telegram ve kötü amaçlı bir yazılım yüklüyor.

İndirici ile yüklenen zararsız Telegram yükleyicisi yürütülmezken, AutoIT programı diğer kötü amaçlı exe’yi (TextInputh.exe) çalıştırır.

Dropped files on infected machine
Virüslü makinelere iletilen dosyalar Kaynak: Minerva Labs

TextInputh.exe yürütüldüğünde, “C:\Users\Public\Videos\” altında yeni bir klasör (“1640618495”) oluşturacak ve bir 7z yardımcı programı ve bir RAR arşivi (1.rar) indirmek için C2’ye (Command and Control Server) bağlanacaktır.

Arşiv, kötü amaçlı yükü ve yapılandırma dosyalarını içerirken, 7z programı her şeyi ProgramData klasörüne açar.

Minerva Labs tarafından yapılan bir analizde ayrıntılı olarak açıklandığı gibi, TextInputh.exe, güvenliği ihlal edilmiş makinede şu eylemleri gerçekleştirir:

  • rundll3222.exe, svchost.txt ve 360.tct dosyasını da “360.dll” adıyla ProgramData klasörüne kopyalar
  • “ojbk.exe -a” komut satırı ile ojbk.exe’yi yürütür
  • 1.rar ve 7zz.exe’yi siler
Purple Fox infection flow
Purple Fox bulaşma şeması

Ardından, kalıcılık için bir kayıt defteri anahtarı oluşturulur, bir DLL (rundll3222.dll) UAC’yi devre dışı bırakır, yük (scvhost.txt) yürütülür ve aşağıdaki beş ek dosya virüslü sisteme bırakılır:

  1. Calldriver.exe
  2. Driver.sys
  3. dll.dll
  4. kill.bat
  5. speedmem2.hg 

Bu ekstra dosyaların amacı, 360 AV işlemlerinin başlatılmasını toplu olarak engellemek ve güvenliği ihlal edilmiş makinede Purple Fox’un algılanmasını önlemektir.

Kötü amaçlı yazılım için bir sonraki adım, temel sistem bilgilerini toplamak, üzerinde herhangi bir güvenlik aracının çalışıp çalışmadığını kontrol etmek ve son olarak tüm bunları sabit kodlanmış bir C2 adresine göndermektir.

Bu keşif işlemi tamamlandıktan sonra Purple Fox, hem 32 hem de 64 bit sistemler için şifrelenmiş kabuk kodunu içeren bir .msi dosyası biçiminde C2’den indirilir.

Purple Fox yürütüldüğünde, devre dışı bırakılmış Kullanıcı Hesabı Denetimi’nin (UAC) etkinleşmesi için virüslü makine yeniden başlatılacaktır.

Bunu başarmak için, dll.dll dosyası aşağıdaki üç kayıt defteri anahtarını 0’a ayarlar:

  1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorAdmin 
  2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 
  3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
Dll disabling UAC on the target system
Hedef sistemde UAC’yi devre dışı bırakan Dll

UAC’yi devre dışı bırakmak hayati önem taşır çünkü virüsler ve kötü amaçlı yazılımlar dahil olmak üzere virüslü sistemde çalışan herhangi bir programa yönetici ayrıcalıkları verir.

UAC genel olarak, uygulamaların yetkisiz yüklenmesini veya sistem ayarlarının değiştirilmesini önler, bu nedenle Windows’ta her zaman etkin kalmalıdır.

Devre dışı bırakılması, Purple Fox’un dosya arama ve sızdırma, işlem sonlandırma, veri silme, kod indirme ve çalıştırma ve hatta diğer Windows sistemlerine solucan bulaştırma gibi kötü niyetli işlevleri gerçekleştirmesine izin verir.

Kaynak: bleepingcomputer.com

Diğer Haberler

Komutları Web Sayfalarından Kopyalayıp Yapıştırmak Hacklenmenize Yol Açabilir
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi Yayınlandı!
Microsoft, MS Exchange Kuyrukta Bekleme Sorunu İçin Çözüm Önerisi Paylaştı

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu