- Mūsdienās daudzi cilvēki izmanto Telegram kā drošāku saziņas līdzekli.
- Bet visa šī privātuma aizsardzība var maksāt, ja mēs nepievēršam uzmanību zīmēm.
- Ir novērots, ka Telegram darbvirsmas instalētājam izplata vairāk nekā tikai privātumu.
- Telegram instalēšanas programmā ir iestrādāts drausmīgais Purple Fox ļaunprātīgās programmatūras saknes komplekts.
Ikviens jau zina, ka Telegram ir viena no drošākajām programmatūras izvēlēm saziņai ar citiem, ja jūs patiešām novērtējat savu privātumu.
Tomēr, kā jūs drīz uzzināsit, pat visdrošākās iespējas var kļūt par drošības apdraudējumiem, ja mēs neesam uzmanīgi.
Nesen ļaunprātīga Telegram for desktop instalēšanas programma sāka izplatīt Purple Fox ļaunprātīgu programmatūru, lai inficētajās ierīcēs instalētu turpmākas bīstamas slodzes.
Šis instalētājs ir kompilēts AutoIt skripts ar nosaukumu Telegram Desktop.exe kas pamet divus failus, faktisko Telegram instalēšanas programmu un ļaunprātīgu lejupielādētāju (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0ccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 2021. gada 25. decembris
Telegram instalētāji instalēs ne tikai pašu lietotni
Tas viss sākas tāpat kā jebkura cita banāla darbība, ko veicam savā datorā, patiesībā nezinot, kas notiek aiz slēgtām durvīm.
Kā norāda Minerva Lab drošības eksperti, izpildot, TextInputh.exe izveido jaunu mapi ar nosaukumu 1640618495 zem:
C:\Lietotāji\Publiski\Video\
Patiesībā šis TextInputh.exe fails tiek izmantots kā lejupielādētājs nākamajam uzbrukuma posmam, jo tas sazinās ar C&C serveri un lejupielādē divus failus jaunizveidotajā mapē.
Lai iegūtu padziļinātāku priekšstatu par infekcijas procesu, rīkojieties šādi TextInputh.exe veic apdraudētajā mašīnā:
- Kopē 360.tct ar 360.dll nosaukumu, rundll3222.exe un svchost.txt mapē ProgramData
- Izpilda ojbk.exe ar komandrindu “ojbk.exe -a”.
- Izdzēš 1.rar un 7zz.exe un iziet no procesa
Nākamais ļaunprogrammatūras solis ir apkopot sistēmas pamatinformāciju, pārbaudīt, vai tajā nedarbojas kādi drošības rīki, un visbeidzot nosūtīt visu to uz cieto kodu C2 adresi.
Kad šis process ir pabeigts, Purple Fox tiek lejupielādēts no C2 formātā a .msi fails, kas satur šifrētu čaulas kodu gan 32, gan 64 bitu sistēmām.
Inficētā ierīce tiks restartēta, lai stātos spēkā jaunie reģistra iestatījumi, galvenais, atspējota lietotāja konta kontrole (UAC).
Pagaidām nav zināms, kā tiek izplatīta ļaunprātīga programmatūra, taču līdzīgas ļaunprātīgas programmatūras kampaņas uzdodas par likumīgu programmatūru, tika izplatīta, izmantojot YouTube videoklipus, forumu surogātpastu un ēnu programmatūru vietnes.
Ja vēlaties iegūt labāku izpratni par visu procesu, iesakām izlasīt pilnu diagnostiku no Minerva Labs.
Vai jums ir aizdomas, ka esat lejupielādējis ar ļaunprātīgu programmatūru inficētu instalēšanas programmu? Kopīgojiet savas domas ar mums komentāru sadaļā zemāk.
