- Mnoho lidí dnes používá telegram jako bezpečnější prostředek ke komunikaci.
- Ale toto soukromí může přijít draho, pokud nevěnujeme pozornost znamením.
- Telegram pro stolní instalační program šíří více než jen soukromí.
- Hluboko v instalačním programu Telegram je zabudován obávaný malwarový rootkit Purple Fox.
Každý už ví, že Telegram patří mezi jedny z nejbezpečnějších softwarových možností pro komunikaci s ostatními, pokud si opravdu ceníte svého soukromí.
Jak však brzy zjistíte, i ty nejbezpečnější možnosti se mohou změnit v bezpečnostní rizika, pokud nebudeme opatrní.
Nedávno začal škodlivý Telegram pro stolní instalační program distribuovat malware Purple Fox, aby na infikovaná zařízení instaloval další nebezpečné užitečné zatížení.
Tento instalační program je zkompilovaný skript AutoIt s názvem Telegram Desktop.exe který zahodí dva soubory, skutečný instalátor telegramu a škodlivý downloader (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25. prosince 2021
Instalátoři telegramu nainstalují více než jen samotnou aplikaci
Všechno to začíná jako každá jiná banální akce, kterou provádíme na našich počítačích, aniž bychom vlastně věděli, co se děje za zavřenými dveřmi.
Tvrdí to bezpečnostní experti z Minerva Labpři provedení, TextInputh.exe vytvoří novou složku s názvem 1640618495 pod:
C:\Users\Public\Videos\
Vlastně tohle TextInputh.exe je použit jako downloader pro další fázi útoku, protože kontaktuje C&C server a stahuje dva soubory do nově vytvořené složky.
Chcete-li získat podrobnější pohled na proces infekce, zde je to, co TextInputh.exe provede na napadeném počítači:
- Zkopíruje 360.tct s názvem 360.dll, rundll3222.exe a svchost.txt do složky ProgramData
- Spouští ojbk.exe pomocí příkazového řádku „ojbk.exe -a“.
- Smaže 1.rar a 7zz.exe a ukončí proces
Dalším krokem pro malware je shromáždit základní systémové informace, zkontrolovat, zda na něm neběží nějaké bezpečnostní nástroje, a nakonec to vše odeslat na pevně zakódovanou adresu C2.
Jakmile je tento proces dokončen, Purple Fox se stáhne z C2 ve formě a .msi soubor, který obsahuje zašifrovaný shell kód pro 32 i 64bitové systémy.
Infikované zařízení bude restartováno, aby se projevila nová nastavení registru, což je nejdůležitější, deaktivovaná kontrola uživatelských účtů (UAC).
V současné době není známo, jak je malware distribuován, ale podobné malwarové kampaně vydávající se za legitimní software byl distribuován prostřednictvím videí YouTube, spamu na fóru a stinného softwaru stránky.
Pokud chcete lépe porozumět celému procesu, doporučujeme vám přečíst si celou diagnostiku od Minerva Labs.
Máte podezření, že jste si stáhli instalační program infikovaný malwarem? Podělte se s námi o své myšlenky v sekci komentářů níže.
