היזהר בעת התקנת Telegram, אתה עלול גם לקבל תוכנה זדונית של Purple Fox

הרבה אנשים משתמשים בטלגרם בימינו, כאמצעי בטוח יותר לתקשורת.
אבל כל הפרטיות הזו יכולה לגבות מחיר אם לא שמים לב לשלטים.
תוכנית ההתקנה של טלגרם למחשב שולחני נראתה מפיצה יותר מסתם פרטיות.
עמוק בתוכנת ההתקנה של Telegram מוטבע ערכת השורש של Purple Fox המפחידה של תוכנות זדוניות.

כולם יודעים עד עכשיו שטלגרם היא בין כמה מבחירות התוכנה הבטוחות ביותר לתקשורת עם אחרים אם אתה באמת מעריך את הפרטיות שלך.

עם זאת, כפי שתגלה בקרוב, אפילו האפשרויות הבטוחות ביותר בחוץ עלולות להפוך לסכנות אבטחה אם לא נזהר.

לאחרונה, מתקין טלגרם זדוני למחשב שולחני החל להפיץ את התוכנה הזדונית Purple Fox כדי להתקין מטענים מסוכנים נוספים על מכשירים נגועים.

מתקין זה הוא סקריפט AutoIt מהול בשם Telegram Desktop.exe שמפיל שני קבצים, מתקין טלגרם בפועל, ומורד זדוני (TextInputh.exe).

"Telegram Desktop.exe": 41769d751fa735f253e96a02d0ccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔

— MalwareHunterTeam (@malwrhunterteam) 25 בדצמבר 2021

מתקיני טלגרם יתקינו יותר מסתם האפליקציה עצמה

הכל מתחיל כמו כל פעולה בנאלית אחרת שאנו מבצעים במחשבים שלנו, מבלי לדעת מה קורה מאחורי דלתיים סגורות.

instagram story viewer

לדברי מומחי אבטחה ממעבדת מינרווה, כאשר הוצא להורג, TextInputh.exe יוצר תיקיה חדשה בשם 1640618495 תַחַת:

C:\Users\Public\Videos\

בעצם, זה TextInputh.exe הקובץ משמש בתור הורדה לשלב הבא של המתקפה, מכיוון שהוא יוצר קשר עם שרת C&C ומוריד שני קבצים לתיקיה החדשה שנוצרה.

על מנת לקבל מבט מעמיק יותר על תהליך ההדבקה, הנה מה TextInputh.exe מבצע על המכונה שנפרצה:

מעתיק את 360.tct עם שם 360.dll, rundll3222.exe ו-svchost.txt לתיקיית ProgramData
מבצע ojbk.exe עם שורת הפקודה "ojbk.exe -a".
מוחק את 1.rar ו-7zz.exe ויוצא מהתהליך

השלב הבא של התוכנה הזדונית הוא לאסוף מידע בסיסי על המערכת, לבדוק אם פועלים עליה כלי אבטחה, ולבסוף לשלוח את כל זה לכתובת C2 מקודדת.

לאחר השלמת תהליך זה, הורדת Purple Fox מה-C2 בצורה של a .msi קובץ המכיל קוד מעטפת מוצפן עבור מערכות 32 ו-64 סיביות.

המכשיר הנגוע יופעל מחדש כדי שהגדרות הרישום החדשות ייכנסו לתוקף, והכי חשוב, בקרת חשבון משתמש מושבתת (UAC).

נכון לעכשיו, לא ידוע כיצד התוכנה הזדונית מופצת, אך מסעות פרסום דומים של תוכנות זדוניות התחזות לתוכנות לגיטימיות הופצו באמצעות סרטוני YouTube, ספאם בפורומים ותוכנות מפוקפקות אתרים.

אם אתה רוצה לקבל הבנה טובה יותר של התהליך כולו, אנו ממליצים לך לקרוא את האבחון המלא ממעבדות Minerva.

האם אתה חושד שהורדת מתקין נגוע בתוכנה זדונית? שתף אותנו במחשבותיך בקטע ההערות למטה.

היזהר בעת התקנת Telegram, אתה עלול גם לקבל תוכנה זדונית של Purple Fox

מתקיני טלגרם יתקינו יותר מסתם האפליקציה עצמה

תוכנה זדונית של Gamarue: איך זה עובד ואיך להסיר אותו תוכנה זדונית הסרת תוכנות זדוניות

תוכנות זדוניות של TechBrolo: איך זה עובד ואיך מסירים אותו תוכנה זדונית אבטחת סייבר

האם DriverAgent Plus בטוח? כיצד אוכל להסיר אותו מהמחשב האישי שלי?תוכנה זדונית איומים ביטחוניים

היזהר בעת התקנת Telegram, אתה עלול גם לקבל תוכנה זדונית של Purple Fox

מתקיני טלגרם יתקינו יותר מסתם האפליקציה עצמה

תוכנה זדונית של Gamarue: איך זה עובד ואיך להסיר אותותוכנה זדוניתהסרת תוכנות זדוניות

תוכנות זדוניות של TechBrolo: איך זה עובד ואיך מסירים אותותוכנה זדוניתאבטחת סייבר

האם DriverAgent Plus בטוח? כיצד אוכל להסיר אותו מהמחשב האישי שלי?תוכנה זדוניתאיומים ביטחוניים

תוכנה זדונית של Gamarue: איך זה עובד ואיך להסיר אותו תוכנה זדונית הסרת תוכנות זדוניות

תוכנות זדוניות של TechBrolo: איך זה עובד ואיך מסירים אותו תוכנה זדונית אבטחת סייבר

האם DriverAgent Plus בטוח? כיצד אוכל להסיר אותו מהמחשב האישי שלי?תוכנה זדונית איומים ביטחוניים