- Banyak orang menggunakan Telegram saat ini, sebagai sarana yang lebih aman untuk berkomunikasi.
- Tetapi semua privasi ini dapat merugikan jika kita tidak memperhatikan tanda-tandanya.
- Penginstal Telegram untuk desktop terlihat menyebarkan lebih dari sekadar privasi.
- Tertanam jauh di dalam penginstal Telegram adalah rootkit malware Purple Fox yang ditakuti.
Semua orang tahu sekarang bahwa Telegram adalah salah satu dari beberapa pilihan perangkat lunak teraman untuk berkomunikasi dengan orang lain jika Anda benar-benar menghargai privasi Anda.
Namun, seperti yang akan segera Anda ketahui, bahkan opsi teraman di luar sana dapat berubah menjadi bahaya keamanan jika kita tidak berhati-hati.
Baru-baru ini, penginstal Telegram untuk desktop yang berbahaya mulai mendistribusikan malware Purple Fox untuk menginstal muatan berbahaya lebih lanjut pada perangkat yang terinfeksi.
Pemasang ini adalah skrip AutoIt yang dikompilasi bernama Telegram Desktop.exe yang menjatuhkan dua file, penginstal Telegram yang sebenarnya, dan pengunduh berbahaya (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 Desember 2021
Pemasang Telegram akan menginstal lebih dari sekadar aplikasi itu sendiri
Semuanya dimulai seperti tindakan biasa lainnya yang kami lakukan di PC kami, tanpa benar-benar mengetahui apa yang terjadi di balik pintu tertutup.
Menurut pakar keamanan dari Minerva Lab, saat dieksekusi, TextInputh.exe membuat folder baru bernama 1640618495 di bawah:
C:\Users\Public\Videos\
Sebenarnya, ini TextInputh.exe file digunakan sebagai pengunduh untuk tahap serangan berikutnya, karena menghubungi server C&C dan mengunduh dua file ke folder yang baru dibuat.
Untuk mendapatkan pandangan yang lebih mendalam tentang proses infeksi, inilah yang TextInputh.exe melakukan ke mesin yang dikompromikan:
- Salin 360.tct dengan nama 360.dll, rundll3222.exe, dan svchost.txt ke folder ProgramData
- Jalankan ojbk.exe dengan baris perintah "ojbk.exe -a"
- Menghapus 1.rar dan 7zz.exe dan keluar dari proses
Langkah selanjutnya untuk malware adalah mengumpulkan informasi sistem dasar, memeriksa apakah ada alat keamanan yang berjalan di dalamnya, dan akhirnya mengirim semua itu ke alamat C2 yang di-hardcode.
Setelah proses ini selesai, Purple Fox diunduh dari C2 dalam bentuk .msi file yang berisi shellcode terenkripsi untuk sistem 32 dan 64-bit.
Perangkat yang terinfeksi akan dimulai ulang agar pengaturan registri baru diterapkan, yang terpenting, Kontrol Akun Pengguna (UAC) yang dinonaktifkan.
Tidak diketahui untuk saat ini bagaimana malware didistribusikan tetapi kampanye malware serupa meniru perangkat lunak yang sah didistribusikan melalui video YouTube, spam forum, dan perangkat lunak teduh situs.
Jika Anda ingin mendapatkan pemahaman yang lebih baik tentang keseluruhan proses, kami mendorong Anda untuk membaca diagnostik lengkap dari Minerva Labs.
Apakah Anda curiga telah mengunduh penginstal yang terinfeksi malware? Bagikan pemikiran Anda dengan kami di bagian komentar di bawah.
