آخرین اخبار
صفحه اصلی
اخبار

ترفند روباه بنفش برای شکار کاربران تلگرام

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
197 نمایش ها

کمیته رکن چهارم – بدافزار Purple Fox می‌تواند از طریق یک فایل نصب‌کننده تلگرام دسکتاپ منتشر شود و پی‌لودهای مخربی را بر روی سیستم هدف اجرا کند.

یک فایل نصب‌کننده مخرب تلگرام دسکتاپ به منظور نصب دیگر پی‌لودهای مخرب بر روی دستگاه‌های آلوده، اقدام به انتشار بدافزار Purple Fox (روباه بنفش) می‌کند.

این نصب‌کننده، یک اسکریپت فشرده Autolt به نام Telegram Desktop.exe است که دو فایل را رها می‌کند:
– نصب‌کننده واقعی تلگرام
– دانلود‌کننده مخرب

نصب‌کننده واقعی تلگرام اجرا نمی‌شود و این، برنامه AutoIT است که دانلود مخرب (TextInputh.exe) را اجرا می‌کند. هنگامی که TextInputh.exe اجرا می‌شود، پوشه جدیدی (“۱۶۴۰۶۱۸۴۹۵”) را در “C:UsersPublicVideos” ایجاد می کند و برای دانلود یک آرشیو RAR و ۷z به سرور کنترل و فرمان متصل می‌شود.

این آرشیو شامل پی‌لود و فایل‌های پیکربندی است در حالی که برنامه ۷z همه چیز را در پوشه ProgramData قرار می‌دهد.

طبق بررسی‌های صورت گرفته توسط Minerva Labs، TextInputh.exe می‌تواند کارهای زیر را در دستگاه‌های ناایمن صورت دهد:
– کپی کردن ۳۶۰.tct در پوشه ProgramData با نام “۳۶۰.dll”، rundll۳۲۲۲.exe و svchost.txt
– اجرای ojbk.exe با خط فرمان “ojbk.exe -a”
– حذف ۱.rar و ۷zz.exe و خارج شدن از پروسه
– جریان آلوده‌سازی بدافزار روباه بنفش

پس از آن، کلید رجیستری برای ماندگاری بدافزار ساخته می‌شود، rundll۳۲۲۲.dll کنترل حساب کاربر را غیر فعال می‌کند، پی‌لود اجرا می‌شود و پنج فایل اضافی دیگر بر روی سیستم آلوده رهاسازی می‌شوند:
Calldriver.exe
Driver.sys
dll.dll
kill.bat
speedmem۲.hg

هدف از رهاسازی این فایل‌های اضافه، انسداد راه‌اندازی پروسه‌های ۳۶۰ AV و جلوگیری از شناسایی روباه بنفش بر روی دستگاه‌های در معرض خطر است.

قدم بعدی این بدافزار، جمع‌آوری اطلاعات پایه‌ای سیستم برای بررسی کارکرد ابزار امنیتی و درنهایت ارسال تمامی آنها به یک نشانی هارد کد شده سرور کنترل و فرمان است.

در صورت تکمیل این پروسه، روباه بنفش در فرم یک فایل .msi از سرور کنترل و فرمان دانلود می‌شود. این فایل شامل شل کدهای رمزنگاری شده سیستم‌های ۳۲ و ۶۴ بیت است.

پس از اجرای روباه بنفش، دستگاه آلوده برای تنظیم مجدد یک رجیستری جدید ری‌استارت می‌شود. روباه بنفش درنهایت می‌تواند فعالیت‌های مخربی مانند سرچ فایل و استخراج داده، دانلود و اجرای کد، حذف داده و انتشار به دیگر سیستم‌های ویندوز صورت دهد.

منبع: سایبربان

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.