- Mange mennesker bruger Telegram i dag, som et sikrere middel til at kommunikere.
- Men alt dette privatliv kan komme til at koste, hvis vi ikke er opmærksomme på skiltene.
- Et Telegram til desktop-installationsprogram er blevet set sprede mere end blot privatliv.
- Integreret dybt i Telegram-installationsprogrammet er det frygtede Purple Fox malware rootkit.
Alle ved efterhånden, at Telegram er blandt nogle af de sikreste softwarevalg til at kommunikere med andre, hvis du virkelig værdsætter dit privatliv.
Men som du snart vil finde ud af, kan selv de sikreste muligheder derude blive til sikkerhedsrisici, hvis vi ikke er forsigtige.
For nylig begyndte et ondsindet Telegram til desktop-installatør at distribuere Purple Fox-malwaren for at installere yderligere farlige nyttelaster på inficerede enheder.
Dette installationsprogram er et kompileret AutoIt-script med navnet Telegram Desktop.exe der taber to filer, et faktisk Telegram-installationsprogram og et ondsindet downloadprogram (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25. december 2021
Telegram-installatører installerer mere end blot selve appen
Det hele starter som enhver anden banal handling, som vi udfører på vores pc'er, uden egentlig at vide, hvad der foregår bag lukkede døre.
Ifølge sikkerhedseksperter fra Minerva Lab, når den henrettes, TextInputh.exe opretter en ny mappe med navnet 1640618495 under:
C:\Brugere\Offentlige\Videoer\
Faktisk dette TextInputh.exe fil bruges som downloader til næste trin af angrebet, da den kontakter en C&C-server og downloader to filer til den nyoprettede mappe.
For at få et mere dybdegående overblik over infektionsprocessen, her er hvad TextInputh.exe udfører på den kompromitterede maskine:
- Kopierer 360.tct med 360.dll navn, rundll3222.exe og svchost.txt til mappen ProgramData
- Udfører ojbk.exe med kommandolinjen "ojbk.exe -a".
- Sletter 1.rar og 7zz.exe og afslutter processen
Det næste trin for malwaren er at indsamle grundlæggende systemoplysninger, kontrollere, om der kører sikkerhedsværktøjer på den, og til sidst sende alt det til en hårdkodet C2-adresse.
Når denne proces er afsluttet, downloades Purple Fox fra C2 i form af en .msi fil, der indeholder krypteret shellkode til både 32 og 64-bit systemer.
Den inficerede enhed genstartes for at de nye registreringsindstillinger træder i kraft, vigtigst af alt, den deaktiverede brugerkontokontrol (UAC).
Det er ukendt for øjeblikket, hvordan malwaren distribueres, men lignende malware-kampagner efterligning af legitim software blev distribueret via YouTube-videoer, forumspam og lyssky software websteder.
Hvis du ønsker at få en bedre forståelse af hele processen, opfordrer vi dig til at læse den fulde diagnostik fra Minerva Labs.
Har du mistanke om at have downloadet et malware-inficeret installationsprogram? Del dine tanker med os i kommentarfeltet nedenfor.
