텔레그램 사용자들을 노리는 로더...정보 수집하고 추가 멀웨어 설치해

요약 : 가짜 데스크톱용 텔레그램 인스톨러가 멀웨어를 퍼트리고 있다. 퍼지는 멀웨어의 이름은 퍼플폭스(Purple Fox)로, 일종의 다운로더다. 공격자들은 퍼플폭스를 피해자의 시스템에 먼저 설치하고, 그 다음 퍼플폭스를 통해 추가 멀웨어를 설치한다. 기존 로더들처럼 퍼플폭스도 시스템의 기본 정보를 수집해 공격자들에게 전송하는 기능도 가지고 있다. 아직 공격자의 정체는 파악되지 않았다.


배경 : 가짜 텔레그램 인스톨러는 Telegram Desktop.exe라는 파일인데, 이 안에는 두 가지 파일이 패킹되어 있다. 하나는 진짜 텔레그램 인스톨러이고, 다른 하나는 퍼플폭스다. 퍼플폭스는 실행되면서 1640618495라는 폴더를 생성하고 C&C 서버와 연결하는 작업을 실시한다.

말말말 : “아직 가짜 인스톨러 파일이 어떤 식으로 유포되는지는 정확하게 파악되지 않고 있습니다. 하지만 유튜브 영상, 포럼 게시글, 해적판 소프트웨어 등이 활용되는 것으로 예상됩니다.” -미네르바랩스(Minerva Labs)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>