أعلن فريق الأمن السيبراني Minerva Labs ، الذي يعمل لدى مؤسسة MalwareHunterTeam ، إن البرمجية الخبيثة Purple Fox أو «الثعلب الإرجواني» أصبح يتم إخفاؤها في ملف يحمل اسم "Telegram Desktop.exe"، بهدف خداع أولئك الذين يعتقدون أنهم يقومون بتثبيت خدمة المراسلة الشائعة «تليجرام» خاصة على أجهزة سطح المكتب.
وكان قد تم اكتشاف برمجية Purple Fox لأول مرة في عام 2018، وقد تم نشرها من خلال مجموعة متنوعة من الوسائل، بما في ذلك رسائل البريد الإلكتروني المخادعة، والروابط الضارة ومجموعات الاستغلال، ومع ذلك ، في السنوات القليلة الماضية، توسعت طرق التوزيع لتشمل المساومة على خدمات الإنترنت المعرضة للخطر، وخدمات SMB المكشوفة، والمثبتات أو التطبيقات المزيفة.
أقرأ أيضا.. تطبيق «تليجرام» يطرح حزمة جديدة من الميزات
وبحسب فريق الخبراء، فقد تم تطوير مُثبِّت تليجرام Telegram الضار كبرنامج نصي مُجمَّع «AutoIt»، كما يتم إسقاط مُثبِّت تطبيق تليجرام Telegram الرسمي، ولكن مع أداة تنزيل ضارة تسمى TextInputh.exe.
يتم بعد ذلك تقسيم الهجوم إلى عدة ملفات صغيرة، وهي تقنية يقول «مينيرفا» إنها سمحت لممثل التهديد بالبقاء تحت الرادار، وقد كانت معظم الملفات ذات معدلات اكتشاف منخفضة جدًا بواسطة محركات AV مع المرحلة النهائية التي أدت إلى إصابة Purple Fox rootkit . "
وينشئ TextInputh.exe الخاص بالبرامج الضارة ، مجلدًا جديدًا، ثم يتصل بخادم الأوامر والتحكم في (C2)، ثم يتم تنزيل ملفين جديدين وتنفيذهما، مما يؤدي إلى فك ضغط أرشيفات RAR وملف تستخدم لتحميل ملف ضار بشكل عكسي.
هذا ويتم إنشاء مفتاح التسجيل لتمكين الاستمرارية على جهاز مصاب بالبرمجية الخبيثة، كما يتم إسقاط خمسة ملفات أخرى في مجلد ProgramData لأداء الوظائف، بما في ذلك إيقاف تشغيل مجموعة واسعة من عمليات مكافحة الفيروسات قبل نشر البرمجية الرئيسية الخبيثة «الثعلب الإرجواني» Purple Fox.
