- आजकल बहुत से लोग टेलीग्राम का उपयोग संचार के एक सुरक्षित साधन के रूप में कर रहे हैं।
- लेकिन यह सब गोपनीयता एक कीमत पर आ सकती है अगर हम संकेतों पर ध्यान नहीं दे रहे हैं।
- डेस्कटॉप इंस्टालर के लिए एक टेलीग्राम को सिर्फ गोपनीयता से ज्यादा फैलते देखा गया है।
- टेलीग्राम इंस्टॉलर में गहरा एंबेडेड खतरनाक पर्पल फॉक्स मैलवेयर रूटकिट है।
अब तक हर कोई जानता है कि यदि आप वास्तव में अपनी गोपनीयता को महत्व देते हैं तो टेलीग्राम दूसरों के साथ संवाद करने के लिए सबसे सुरक्षित सॉफ़्टवेयर विकल्पों में से एक है।
हालाँकि, जैसा कि आपको जल्द ही पता चल जाएगा, अगर हम सावधान नहीं हैं तो सबसे सुरक्षित विकल्प भी सुरक्षा के लिए खतरा बन सकते हैं।
हाल ही में, डेस्कटॉप इंस्टालर के लिए एक दुर्भावनापूर्ण टेलीग्राम ने संक्रमित उपकरणों पर और खतरनाक पेलोड स्थापित करने के लिए पर्पल फॉक्स मैलवेयर वितरित करना शुरू किया।
यह इंस्टॉलर एक संकलित AutoIt स्क्रिप्ट है जिसका नाम है टेलीग्राम Desktop.exe जो दो फाइलों को छोड़ देता है, एक वास्तविक टेलीग्राम इंस्टॉलर, और एक दुर्भावनापूर्ण डाउनलोडर (TextInputh.exe)।
"टेलीग्राम Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔- मालवेयरहंटर टीम (@malwrhunterteam) 25 दिसंबर, 2021
टेलीग्राम इंस्टालर सिर्फ ऐप से ज्यादा इंस्टॉल करेंगे
यह सब किसी भी अन्य सामान्य क्रिया की तरह शुरू होता है जो हम अपने पीसी पर करते हैं, वास्तव में यह जाने बिना कि बंद दरवाजों के पीछे क्या होता है।
मिनर्वा लैबो के सुरक्षा विशेषज्ञों के मुताबिक, निष्पादित होने पर, TextInput.exe नाम का एक नया फ़ोल्डर बनाता है 1640618495 अंतर्गत:
सी:\उपयोगकर्ता\सार्वजनिक\वीडियो\
दरअसल, यह TextInput.exe फ़ाइल को हमले के अगले चरण के लिए डाउनलोडर के रूप में उपयोग किया जाता है, क्योंकि यह एक सी एंड सी सर्वर से संपर्क करता है और नए बनाए गए फ़ोल्डर में दो फाइलें डाउनलोड करता है।
संक्रमण प्रक्रिया के बारे में अधिक गहराई से देखने के लिए, यहाँ क्या है TextInput.exe समझौता मशीन पर करता है:
- प्रोग्रामडेटा फ़ोल्डर में 360.tct को 360.dll नाम, rundll3222.exe, और svchost.txt के साथ कॉपी करता है
- "ojbk.exe -a" कमांड लाइन के साथ ojbk.exe निष्पादित करता है
- 1.rar और 7zz.exe हटाता है और प्रक्रिया से बाहर निकलता है
मैलवेयर के लिए अगला कदम बुनियादी सिस्टम जानकारी इकट्ठा करना है, यह जांचना है कि क्या कोई सुरक्षा उपकरण उस पर चल रहा है, और अंत में वह सब एक हार्डकोडेड C2 पते पर भेज दें।
एक बार यह प्रक्रिया पूरी हो जाने के बाद, पर्पल फॉक्स को C2 से a. के रूप में डाउनलोड किया जाता है एमएसआई फ़ाइल जिसमें 32 और 64-बिट सिस्टम दोनों के लिए एन्क्रिप्टेड शेलकोड है।
नई रजिस्ट्री सेटिंग्स को प्रभावी करने के लिए संक्रमित डिवाइस को पुनरारंभ किया जाएगा, सबसे महत्वपूर्ण बात, अक्षम उपयोगकर्ता खाता नियंत्रण (यूएसी)।
यह फिलहाल अज्ञात है कि मैलवेयर कैसे वितरित किया जा रहा है लेकिन समान मैलवेयर अभियान वैध सॉफ़्टवेयर का प्रतिरूपण YouTube वीडियो, फ़ोरम स्पैम और छायादार सॉफ़्टवेयर के माध्यम से वितरित किया गया था साइटें।
यदि आप पूरी प्रक्रिया की बेहतर समझ प्राप्त करना चाहते हैं, तो हम आपको मिनर्वा लैब्स से पूर्ण निदान पढ़ने के लिए प्रोत्साहित करते हैं।
क्या आपको संदेह है कि आपने मैलवेयर-संक्रमित इंस्टॉलर डाउनलोड किया है? अपने विचार नीचे टिप्पणी अनुभाग में हमारे साथ साझा करें।
