- Molte persone usano Telegram al giorno d'oggi, come mezzo più sicuro per comunicare.
- Ma tutta questa privacy può avere un costo se non prestiamo attenzione ai segnali.
- Un programma di installazione di Telegram per desktop è stato visto diffondere più della semplice privacy.
- Incorporato in profondità nel programma di installazione di Telegram è il temuto rootkit di malware Purple Fox.
Ormai tutti sanno che Telegram è tra le scelte software più sicure per comunicare con gli altri se apprezzi davvero la tua privacy.
Tuttavia, come scoprirai presto, anche le opzioni più sicure disponibili possono trasformarsi in rischi per la sicurezza se non stiamo attenti.
Di recente, un programma di installazione dannoso di Telegram per desktop ha iniziato a distribuire il malware Purple Fox per installare ulteriori payload pericolosi sui dispositivi infetti.
Questo programma di installazione è uno script AutoIt compilato denominato Telegram Desktop.exe che rilascia due file, un vero programma di installazione di Telegram e un downloader dannoso (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 dicembre 2021
Gli installatori di Telegram non installeranno solo l'app stessa
Tutto inizia come qualsiasi altra banale azione che eseguiamo sui nostri PC, senza sapere realmente cosa succede a porte chiuse.
Secondo gli esperti di sicurezza di Minerva Lab, quando eseguito, TextInput.exe crea una nuova cartella denominata 1640618495 sotto:
C:\Utenti\Pubblico\Video\
In realtà, questo TextInput.exe viene utilizzato come downloader per la fase successiva dell'attacco, poiché contatta un server C&C e scarica due file nella cartella appena creata.
Per avere una visione più approfondita del processo di infezione, ecco cosa TextInput.exe esegue sulla macchina compromessa:
- Copia 360.tct con nome 360.dll, rundll3222.exe e svchost.txt nella cartella ProgramData
- Esegue ojbk.exe con la riga di comando "ojbk.exe -a"
- Elimina 1.rar e 7zz.exe ed esce dal processo
Il passaggio successivo per il malware consiste nel raccogliere informazioni di base sul sistema, verificare se su di esso sono in esecuzione strumenti di sicurezza e infine inviare tutto ciò a un indirizzo C2 codificato.
Una volta completato questo processo, Purple Fox viene scaricato dal C2 sotto forma di a .msi file che contiene shellcode crittografato per sistemi a 32 e 64 bit.
Il dispositivo infetto verrà riavviato affinché le nuove impostazioni di registro abbiano effetto, soprattutto, il controllo dell'account utente (UAC) disabilitato.
Per il momento non si sa come viene distribuito il malware, ma campagne di malware simili software legittimo impersonato è stato distribuito tramite video di YouTube, spam nei forum e software losco siti.
Se desideri comprendere meglio l'intero processo, ti invitiamo a leggere la diagnostica completa di Minerva Labs.
Sospetti di aver scaricato un programma di installazione infetto da malware? Condividi i tuoi pensieri con noi nella sezione commenti qui sotto.
