- De nos jours, de nombreuses personnes utilisent Telegram comme moyen de communication plus sûr.
- Mais toute cette vie privée peut avoir un coût si nous ne prêtons pas attention aux signes.
- Un programme d'installation de Telegram pour ordinateur de bureau a été vu répandre plus que la confidentialité.
- Le redoutable rootkit de malware Purple Fox est intégré au plus profond du programme d'installation de Telegram.
Tout le monde sait maintenant que Telegram fait partie des choix logiciels les plus sûrs pour communiquer avec les autres si vous tenez vraiment à votre vie privée.
Cependant, comme vous le découvrirez bientôt, même les options les plus sûres peuvent se transformer en risques pour la sécurité si nous ne faisons pas attention.
Récemment, un programme d'installation malveillant de Telegram for Desktop a commencé à distribuer le malware Purple Fox pour installer d'autres charges utiles dangereuses sur les appareils infectés.
Ce programme d'installation est un script AutoIt compilé nommé Telegram Desktop.exe
qui supprime deux fichiers, un programme d'installation de Telegram et un téléchargeur malveillant (TextInputh.exe)."Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔– MalwareHunterTeam (@malwrhunterteam) 25 décembre 2021
Les installateurs de Telegram installeront plus que l'application elle-même
Tout commence comme n'importe quelle autre action banale que nous effectuons sur nos PC, sans vraiment savoir ce qui se passe derrière des portes closes.
Selon les experts en sécurité de Minerva Lab, lorsqu'il est exécuté, TextInputh.exe crée un nouveau dossier nommé 1640618495 en dessous de:
C:\Utilisateurs\Public\Vidéos\
En fait, ce TextInputh.exe est utilisé comme téléchargeur pour la prochaine étape de l'attaque, car il contacte un serveur C&C et télécharge deux fichiers dans le dossier nouvellement créé.
Afin d'obtenir une vue plus approfondie du processus d'infection, voici ce que TextInputh.exe exécute sur la machine compromise :
- Copie 360.tct avec le nom 360.dll, rundll3222.exe et svchost.txt dans le dossier ProgramData
- Exécute ojbk.exe avec la ligne de commande "ojbk.exe -a"
- Supprime 1.rar et 7zz.exe et quitte le processus
La prochaine étape pour le malware consiste à rassembler les informations de base du système, à vérifier si des outils de sécurité sont en cours d'exécution dessus et enfin à envoyer tout cela à une adresse C2 codée en dur.
Une fois ce processus terminé, Purple Fox est téléchargé depuis le C2 sous la forme d'un .msi qui contient un shellcode crypté pour les systèmes 32 et 64 bits.
L'appareil infecté sera redémarré pour que les nouveaux paramètres de registre prennent effet, le plus important, le contrôle de compte d'utilisateur (UAC) désactivé.
On ne sait pas pour le moment comment le malware est distribué, mais des campagnes de malware similaires usurpant l'identité de logiciels légitimes ont été distribués via des vidéos YouTube, des spams sur les forums et des logiciels louches des sites.
Si vous souhaitez mieux comprendre l'ensemble du processus, nous vous encourageons à lire le diagnostic complet de Minerva Labs.
Pensez-vous avoir téléchargé un programme d'installation infecté par un logiciel malveillant? Partagez vos réflexions avec nous dans la section commentaires ci-dessous.
