- Veel mensen gebruiken Telegram tegenwoordig als een veiliger communicatiemiddel.
- Maar al deze privacy kan kosten met zich meebrengen als we niet op de borden letten.
- Er is gezien dat een Telegram voor desktop-installatieprogramma meer verspreidt dan alleen privacy.
- Diep ingebed in het Telegram-installatieprogramma is de gevreesde Purple Fox-malware-rootkit.
Iedereen weet inmiddels dat Telegram een van de veiligste softwarekeuzes is om met anderen te communiceren als u echt waarde hecht aan uw privacy.
Zoals u echter snel zult ontdekken, kunnen zelfs de veiligste opties die er zijn, veiligheidsrisico's worden als we niet oppassen.
Onlangs is een kwaadaardig installatieprogramma van Telegram voor desktop begonnen met het verspreiden van de Purple Fox-malware om verdere gevaarlijke payloads op geïnfecteerde apparaten te installeren.
Dit installatieprogramma is een gecompileerd AutoIt-script met de naam Telegram Desktop.exe die twee bestanden laat vallen, een echt Telegram-installatieprogramma en een kwaadwillende downloader (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 december 2021
Telegram-installatieprogramma's installeren meer dan alleen de app zelf
Het begint allemaal als elke andere banale actie die we op onze pc's uitvoeren, zonder echt te weten wat er achter gesloten deuren gebeurt.
Volgens beveiligingsexperts van Minerva Lab, wanneer uitgevoerd, TextInputh.exe maakt een nieuwe map met de naam 1640618495 onder:
C:\Gebruikers\Openbaar\Video's\
Eigenlijk, dit TextInputh.exe bestand wordt gebruikt als downloader voor de volgende fase van de aanval, omdat het contact maakt met een C&C-server en twee bestanden downloadt naar de nieuw gemaakte map.
Om een meer diepgaand beeld te krijgen van het infectieproces, volgt hier wat: TextInputh.exe voert op de gecompromitteerde machine uit:
- Kopieert 360.tct met de naam 360.dll, rundll3222.exe en svchost.txt naar de map ProgramData
- Voert ojbk.exe uit met de opdrachtregel "ojbk.exe -a"
- Verwijdert 1.rar en 7zz.exe en verlaat het proces
De volgende stap voor de malware is om basissysteeminformatie te verzamelen, te controleren of er beveiligingstools op worden uitgevoerd en dit uiteindelijk allemaal naar een hardgecodeerd C2-adres te sturen.
Zodra dit proces is voltooid, wordt Purple Fox gedownload van de C2 in de vorm van een .msi bestand dat versleutelde shellcode bevat voor zowel 32- als 64-bits systemen.
Het geïnfecteerde apparaat wordt opnieuw opgestart om de nieuwe registerinstellingen van kracht te laten worden, met als belangrijkste het uitgeschakelde Gebruikersaccountbeheer (UAC).
Het is voorlopig niet bekend hoe de malware wordt verspreid, maar vergelijkbare malwarecampagnes nabootsen van legitieme software werden verspreid via YouTube-video's, forumspam en duistere software plaatsen.
Als u het hele proces beter wilt begrijpen, raden we u aan de volledige diagnose van Minerva Labs te lezen.
Vermoed je dat je een met malware geïnfecteerd installatieprogramma hebt gedownload? Deel uw mening met ons in de opmerkingen hieronder.
