通过伪造的Telegram即时通讯应用来传播Purple Fox后门程序

最新的网络安全研究发现，伪造的Telegram（电报）即时通讯应用程序中内置了木马程序，用于在安装后的受感染windows系统上部署 Purple Fox 后门程序。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，Purple Fox 后门程序于 2018 年首次被发现，它具有 rootkit 功能，允许恶意软件被植入到安全解决方案无法触及的范围之外并逃避检测，其具有类似蠕虫的传播特性，使后门能够更快地传播。

网络安全研究人员表示，这个后门能够通过将攻击分成几个小文件，将攻击的大部分置于雷达之下，其中大部分文件在防病毒引擎的检出率非常低，最后阶段实现Purple Fox rootkit 感染。

在 2021 年 10 月，安全研究人员发现了一个名为 FoxSocket 的 .NET 植入程序，与 Purple Fox 一起部署，利用WebSockets联系其命令和控制 (C2) 服务器，以更安全地建立通信。Purple Fox 的 rootkit 功能使其更有能力以更隐蔽的方式执行其目标。它们允许 Purple Fox 在受影响的系统上持续存在，并为受影响的系统提供更多的有效载荷。

安全研究人员还揭示了 Purple Fox 感染链的后期阶段，其中涉及通过插入恶意 SQL 公共语言运行时 ( CLR ) 模块来针对 SQL 数据库，以实现持久且更隐蔽的执行和最终滥用 SQL 服务器进行非法加密货币挖掘。

安全研究人员发现大量恶意安装程序使用相同的攻击链提供相同的 Purple Fox rootkit 版本，似乎有些是通过电子邮件发送的，而另一些我们认为是从网络钓鱼网站下载的。这种攻击的狡猾之处在于，每个阶段都被分离到一个不同的文件中，如果没有整个文件集，这些分离的文件将毫无用处。