- Paljud inimesed kasutavad Telegrami tänapäeval turvalisema suhtlusvahendina.
- Kuid kogu see privaatsus võib maksma minna, kui me märkidele tähelepanu ei pööra.
- Telegrami töölauainstalli jaoks on nähtud, et see levitab rohkem kui lihtsalt privaatsust.
- Sügavale Telegrami installiprogrammi on manustatud Purple Foxi pahavara juurkomplekt.
Kõik teavad praeguseks, et Telegram on üks ohutumaid tarkvaravalikuid teistega suhtlemiseks, kui hindate oma privaatsust.
Kuid nagu varsti saate teada, võivad isegi kõige turvalisemad võimalused muutuda turvariskideks, kui me ei ole ettevaatlikud.
Hiljuti alustas pahatahtlik Telegram for Desktop Installer Purple Foxi pahavara levitamist, et installida nakatunud seadmetesse täiendavaid ohtlikke koormusi.
See installer on kompileeritud AutoIt skript nimega Telegram Desktop.exe mis jätab maha kaks faili, tegeliku Telegrami installeri ja pahatahtliku allalaadija (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0ccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25. detsember 2021
Telegrami installijad installivad rohkem kui lihtsalt rakenduse enda
See kõik algab nagu iga muu banaalne tegevus, mida me oma arvutites sooritame, teadmata, mis toimub suletud uste taga.
Minerva Labi turvaekspertide sõnul, kui täidetakse, TextInputh.exe loob uue kausta nimega 1640618495 all:
C:\Kasutajad\Avalik\Videos\
Tegelikult see TextInputh.exe faili kasutatakse allalaadijana rünnaku järgmise etapi jaoks, kuna see võtab ühendust C&C serveriga ja laadib kaks faili vastloodud kausta alla.
Infektsiooniprotsessist põhjalikuma ülevaate saamiseks tehke järgmist TextInputh.exe toimib ohustatud masinas:
- Kopeerib faili 360.tct nimega 360.dll, rundll3222.exe ja svchost.txt kausta ProgramData
- Käivitab faili ojbk.exe käsurealt "ojbk.exe -a".
- Kustutab failid 1.rar ja 7zz.exe ning väljub protsessist
Pahavara järgmiseks sammuks on koguda põhiline süsteemiteave, kontrollida, kas sellel töötab turvatööriistu, ja lõpuks saata see kõik kõvakoodiga C2-aadressile.
Kui see protsess on lõpule viidud, laaditakse Purple Fox C2-st alla kujul a .msi fail, mis sisaldab krüptitud shellkoodi nii 32- kui ka 64-bitiste süsteemide jaoks.
Nakatunud seade taaskäivitatakse, et uued registrisätted jõustuksid, mis kõige tähtsam, keelatud kasutajakonto kontroll (UAC).
Praegu pole teada, kuidas pahavara levitatakse, kuid sarnaseid pahavarakampaaniaid seaduslikku tarkvara kehastavat tarkvara levitati YouTube'i videote, foorumi rämpsposti ja varjulise tarkvara kaudu saidid.
Kui soovite kogu protsessist paremini aru saada, soovitame teil lugeda Minerva Labsi täielikku diagnostikat.
Kas kahtlustate, et laadisite alla pahavaraga nakatunud installeri? Jagage oma mõtteid meiega allpool olevas kommentaaride jaotises.
