- 現在、より安全な通信手段として、多くの人がTelegramを使用しています。
- しかし、私たちが兆候に注意を払っていない場合、このすべてのプライバシーは犠牲になる可能性があります。
- デスクトップインストーラー用のTelegramは、プライバシー以上のものを広めているのが見られます。
- Telegramインストーラーの奥深くに埋め込まれているのは、恐ろしいPurpleFoxマルウェアルートキットです。
あなたが本当にあなたのプライバシーを大切にしているなら、Telegramが他の人と通信するための最も安全なソフトウェアの選択肢の1つであることを今では誰もが知っています。
ただし、すぐにわかるように、注意しないと、そこにある最も安全なオプションでさえ、セキュリティ上の危険につながる可能性があります。
最近、デスクトップインストーラー用の悪意のあるTelegramが、感染したデバイスにさらに危険なペイロードをインストールするためにPurpleFoxマルウェアの配布を開始しました。
このインストーラーは、コンパイルされたAutoItスクリプトです。 Telegram Desktop.exe これは、実際のTelegramインストーラーと悪意のあるダウンローダー(TextInputh.exe)の2つのファイルをドロップします。
「TelegramDesktop.exe」:41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam(@malwrhunterteam) 2021年12月25日
Telegramインストーラーは、アプリ自体以上のものをインストールします
それはすべて、密室で何が起こっているのかを実際に知らなくても、PCで実行する他の平凡なアクションと同じように始まります。
ミネルバラボのセキュリティ専門家によると、実行すると、 TextInputh.exe 名前の付いた新しいフォルダを作成します 1640618495 下:
C:\ Users \ Public \ Videos \
実はこれ TextInputh.exe ファイルは、C&Cサーバーに接続し、新しく作成されたフォルダーに2つのファイルをダウンロードするため、攻撃の次の段階のダウンローダーとして使用されます。
感染プロセスのより詳細なビューを取得するために、ここに何がありますか TextInputh.exe 侵害されたマシンで実行します。
- 360.tctを360.dll名、rundll3222.exe、およびsvchost.txtとともにProgramDataフォルダーにコピーします
- 「ojbk.exe-a」コマンドラインでojbk.exeを実行します
- 1.rarおよび7zz.exeを削除し、プロセスを終了します
マルウェアの次のステップは、基本的なシステム情報を収集し、セキュリティツールが実行されているかどうかを確認し、最後にすべてをハードコードされたC2アドレスに送信することです。
このプロセスが完了すると、PurpleFoxがC2から次の形式でダウンロードされます。 .msi 32ビットシステムと64ビットシステムの両方の暗号化されたシェルコードを含むファイル。
感染したデバイスは、新しいレジストリ設定を有効にするために再起動されます。最も重要なのは、無効になっているユーザーアカウント制御(UAC)です。
マルウェアがどのように配布されているかは当面不明ですが、同様のマルウェアキャンペーン なりすましの正当なソフトウェアは、YouTubeビデオ、フォーラムスパム、および怪しげなソフトウェアを介して配布されました サイト。
プロセス全体をよりよく理解したい場合は、MinervaLabsの完全な診断を読むことをお勧めします。
マルウェアに感染したインストーラーをダウンロードした疑いがありますか? 以下のコメントセクションで私たちとあなたの考えを共有してください。
