- Πολλοί άνθρωποι χρησιμοποιούν το Telegram στις μέρες μας, ως ασφαλέστερο μέσο επικοινωνίας.
- Αλλά όλη αυτή η ιδιωτικότητα μπορεί να έχει κόστος εάν δεν προσέχουμε τα σημάδια.
- Ένα πρόγραμμα εγκατάστασης Telegram για επιτραπέζιους υπολογιστές έχει παρατηρηθεί ότι διαδίδει κάτι περισσότερο από το απόρρητο.
- Ενσωματωμένο βαθιά στο πρόγραμμα εγκατάστασης του Telegram είναι το τρομερό rootkit κακόβουλου λογισμικού Purple Fox.
Όλοι γνωρίζουν μέχρι στιγμής ότι το Telegram είναι μια από τις ασφαλέστερες επιλογές λογισμικού για την επικοινωνία με άλλους, εάν πραγματικά εκτιμάτε το απόρρητό σας.
Ωστόσο, όπως θα μάθετε σύντομα, ακόμη και οι πιο ασφαλείς επιλογές εκεί έξω μπορεί να μετατραπούν σε κινδύνους για την ασφάλεια, αν δεν είμαστε προσεκτικοί.
Πρόσφατα, ένα κακόβουλο πρόγραμμα εγκατάστασης Telegram για επιτραπέζιους υπολογιστές άρχισε να διανέμει το κακόβουλο λογισμικό Purple Fox για να εγκαταστήσει περαιτέρω επικίνδυνα ωφέλιμα φορτία σε μολυσμένες συσκευές.
Αυτό το πρόγραμμα εγκατάστασης είναι ένα μεταγλωττισμένο σενάριο AutoIt με το όνομα
Telegram Desktop.exe που ρίχνει δύο αρχεία, ένα πραγματικό πρόγραμμα εγκατάστασης του Telegram και ένα κακόβουλο πρόγραμμα λήψης (TextInputh.exe)."Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 Δεκεμβρίου 2021
Τα προγράμματα εγκατάστασης του Telegram θα εγκαταστήσουν περισσότερα από την ίδια την εφαρμογή
Όλα ξεκινούν όπως κάθε άλλη μπανάλ ενέργεια που εκτελούμε στους υπολογιστές μας, χωρίς να γνωρίζουμε πραγματικά τι συμβαίνει πίσω από κλειστές πόρτες.
Σύμφωνα με ειδικούς ασφαλείας από το Minerva Lab, όταν εκτελείται, TextInputh.exe δημιουργεί ένα νέο φάκελο με το όνομα 1640618495 κάτω από:
C:\Users\Public\Videos\
Στην πραγματικότητα, αυτό TextInputh.exe Το αρχείο χρησιμοποιείται ως πρόγραμμα λήψης για το επόμενο στάδιο της επίθεσης, καθώς έρχεται σε επαφή με έναν διακομιστή C&C και πραγματοποιεί λήψη δύο αρχείων στον φάκελο που δημιουργήθηκε πρόσφατα.
Για να έχετε μια πιο εις βάθος εικόνα της διαδικασίας μόλυνσης, δείτε τι TextInputh.exe εκτελεί στο παραβιασμένο μηχάνημα:
- Αντιγράφει το 360.tct με όνομα 360.dll, rundll3222.exe και svchost.txt στο φάκελο ProgramData
- Εκτελεί το ojbk.exe με τη γραμμή εντολών "ojbk.exe -a".
- Διαγράφει 1.rar και 7zz.exe και βγαίνει από τη διαδικασία
Το επόμενο βήμα για το κακόβουλο λογισμικό είναι να συγκεντρώσει βασικές πληροφορίες συστήματος, να ελέγξει εάν εκτελούνται εργαλεία ασφαλείας σε αυτό και, τέλος, να στείλει όλα αυτά σε μια κωδικοποιημένη διεύθυνση C2.
Μόλις ολοκληρωθεί αυτή η διαδικασία, το Purple Fox γίνεται λήψη από το C2 με τη μορφή α .msi αρχείο που περιέχει κρυπτογραφημένο shellcode για συστήματα 32 και 64 bit.
Η μολυσμένη συσκευή θα επανεκκινηθεί για να τεθούν σε ισχύ οι νέες ρυθμίσεις μητρώου, το πιο σημαντικό, ο απενεργοποιημένος Έλεγχος λογαριασμού χρήστη (UAC).
Είναι άγνωστο προς το παρόν πώς διανέμεται το κακόβουλο λογισμικό, αλλά παρόμοιες καμπάνιες κακόβουλου λογισμικού πλαστοπροσωπία νόμιμου λογισμικού διανεμήθηκαν μέσω βίντεο YouTube, ανεπιθύμητων μηνυμάτων φόρουμ και σκιερού λογισμικού τοποθεσίες.
Εάν θέλετε να κατανοήσετε καλύτερα την όλη διαδικασία, σας συνιστούμε να διαβάσετε το πλήρες διαγνωστικό από τη Minerva Labs.
Υποψιάζεστε ότι έχετε κατεβάσει ένα πρόγραμμα εγκατάστασης που έχει μολυνθεί από κακόβουλο λογισμικό; Μοιραστείτε τις σκέψεις σας μαζί μας στην παρακάτω ενότητα σχολίων.
