- Mnogi ljudi danas koriste Telegram, kao sigurnije sredstvo za komunikaciju.
- Ali sva ta privatnost može imati cijenu ako ne obraćamo pažnju na znakove.
- Viđeno je da program za instalaciju Telegrama za stolna računala širi više od samo privatnosti.
- Duboko u instalacijskom programu Telegrama ugrađen je strašni rootkit zlonamjernog softvera Purple Fox.
Svi već znaju da je Telegram jedan od najsigurnijih softverskih izbora za komunikaciju s drugima ako stvarno cijenite svoju privatnost.
Međutim, kao što ćete uskoro saznati, čak i najsigurnije opcije mogu se pretvoriti u sigurnosne opasnosti ako ne budemo oprezni.
Nedavno je zlonamjerni program za instalaciju Telegrama za stolna računala počeo distribuirati zlonamjerni softver Purple Fox kako bi instalirao daljnje opasne sadržaje na zaražene uređaje.
Ovaj instalacijski program je kompilirana AutoIt skripta pod nazivom Telegram Desktop.exe koji ispušta dvije datoteke, stvarni program za instalaciju Telegrama i zlonamjerni program za preuzimanje (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25. prosinca 2021
Instalateri Telegrama instalirat će više od same aplikacije
Sve počinje kao i svaka druga banalna radnja koju izvodimo na svojim računalima, a da zapravo ne znamo što se događa iza zatvorenih vrata.
Prema sigurnosnim stručnjacima iz Minerva Laba, kada se izvrši, TextInputh.exe stvara novu mapu pod nazivom 1640618495 pod, ispod:
C:\Users\Public\Videos\
Zapravo, ovo TextInputh.exe datoteka se koristi kao downloader za sljedeću fazu napada, jer kontaktira C&C poslužitelj i preuzima dvije datoteke u novostvorenu mapu.
Kako biste dobili dublji uvid u proces infekcije, evo što TextInputh.exe izvodi na kompromitiranom stroju:
- Kopira 360.tct s imenom 360.dll, rundll3222.exe i svchost.txt u mapu ProgramData
- Izvršava ojbk.exe pomoću naredbenog retka “ojbk.exe -a”.
- Briše 1.rar i 7zz.exe i izlazi iz procesa
Sljedeći korak za zlonamjerni softver je prikupiti osnovne informacije o sustavu, provjeriti rade li neki sigurnosni alati na njemu i na kraju poslati sve to na tvrdo kodiranu C2 adresu.
Kada se ovaj proces završi, Purple Fox se preuzima sa C2 u obliku a .msi datoteka koja sadrži šifrirani shellcode za 32-bitne i 64-bitne sustave.
Zaraženi uređaj će se ponovno pokrenuti kako bi nove postavke registra stupile na snagu, što je najvažnije, onemogućena kontrola korisničkog računa (UAC).
Za sada je nepoznato kako se zlonamjerni softver distribuira, ali slične zlonamjerne kampanje lažni legitimni softver distribuiran je putem YouTube videozapisa, neželjene pošte na forumu i sumnjivog softvera stranice.
Ako želite bolje razumjeti cijeli proces, preporučujemo vam da pročitate kompletnu dijagnostiku iz Minerva Labsa.
Sumnjate li da ste preuzeli instalacijski program zaražen zlonamjernim softverom? Podijelite svoje mišljenje s nama u odjeljku za komentare ispod.
![5+ najboljih anti-keylogger softvera [Windows 10 i Mac]](/f/89a1bf90cbb3e7fcdbcbcb0e1b8d6eef.jpg?width=300&height=460)
