- הרבה אנשים משתמשים בטלגרם בימינו, כאמצעי בטוח יותר לתקשורת.
- אבל כל הפרטיות הזו יכולה לגבות מחיר אם לא שמים לב לשלטים.
- תוכנית ההתקנה של טלגרם למחשב שולחני נראתה מפיצה יותר מסתם פרטיות.
- עמוק בתוכנת ההתקנה של Telegram מוטבע ערכת השורש של Purple Fox המפחידה של תוכנות זדוניות.
כולם יודעים עד עכשיו שטלגרם היא בין כמה מבחירות התוכנה הבטוחות ביותר לתקשורת עם אחרים אם אתה באמת מעריך את הפרטיות שלך.
עם זאת, כפי שתגלה בקרוב, אפילו האפשרויות הבטוחות ביותר בחוץ עלולות להפוך לסכנות אבטחה אם לא נזהר.
לאחרונה, מתקין טלגרם זדוני למחשב שולחני החל להפיץ את התוכנה הזדונית Purple Fox כדי להתקין מטענים מסוכנים נוספים על מכשירים נגועים.
מתקין זה הוא סקריפט AutoIt מהול בשם Telegram Desktop.exe שמפיל שני קבצים, מתקין טלגרם בפועל, ומורד זדוני (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0ccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 בדצמבר 2021
מתקיני טלגרם יתקינו יותר מסתם האפליקציה עצמה
הכל מתחיל כמו כל פעולה בנאלית אחרת שאנו מבצעים במחשבים שלנו, מבלי לדעת מה קורה מאחורי דלתיים סגורות.
לדברי מומחי אבטחה ממעבדת מינרווה, כאשר הוצא להורג, TextInputh.exe יוצר תיקיה חדשה בשם 1640618495 תַחַת:
C:\Users\Public\Videos\
בעצם, זה TextInputh.exe הקובץ משמש בתור הורדה לשלב הבא של המתקפה, מכיוון שהוא יוצר קשר עם שרת C&C ומוריד שני קבצים לתיקיה החדשה שנוצרה.
על מנת לקבל מבט מעמיק יותר על תהליך ההדבקה, הנה מה TextInputh.exe מבצע על המכונה שנפרצה:
- מעתיק את 360.tct עם שם 360.dll, rundll3222.exe ו-svchost.txt לתיקיית ProgramData
- מבצע ojbk.exe עם שורת הפקודה "ojbk.exe -a".
- מוחק את 1.rar ו-7zz.exe ויוצא מהתהליך
השלב הבא של התוכנה הזדונית הוא לאסוף מידע בסיסי על המערכת, לבדוק אם פועלים עליה כלי אבטחה, ולבסוף לשלוח את כל זה לכתובת C2 מקודדת.
לאחר השלמת תהליך זה, הורדת Purple Fox מה-C2 בצורה של a .msi קובץ המכיל קוד מעטפת מוצפן עבור מערכות 32 ו-64 סיביות.
המכשיר הנגוע יופעל מחדש כדי שהגדרות הרישום החדשות ייכנסו לתוקף, והכי חשוב, בקרת חשבון משתמש מושבתת (UAC).
נכון לעכשיו, לא ידוע כיצד התוכנה הזדונית מופצת, אך מסעות פרסום דומים של תוכנות זדוניות התחזות לתוכנות לגיטימיות הופצו באמצעות סרטוני YouTube, ספאם בפורומים ותוכנות מפוקפקות אתרים.
אם אתה רוצה לקבל הבנה טובה יותר של התהליך כולו, אנו ממליצים לך לקרוא את האבחון המלא ממעבדות Minerva.
האם אתה חושד שהורדת מתקין נגוע בתוכנה זדונית? שתף אותנו במחשבותיך בקטע ההערות למטה.
