- Mange mennesker bruker Telegram i dag, som et sikrere middel til å kommunisere.
- Men alt dette personvernet kan ha en pris hvis vi ikke tar hensyn til skiltene.
- Et Telegram for desktop-installasjonsprogram har blitt sett spre mer enn bare personvern.
- Innebygd dypt i Telegram-installasjonsprogrammet er det fryktede Purple Fox malware rootkit.
Alle vet nå at Telegram er blant noen av de sikreste programvarevalgene for å kommunisere med andre hvis du virkelig setter pris på personvernet ditt.
Men som du snart vil finne ut, kan selv de sikreste alternativene der ute bli sikkerhetsfarer hvis vi ikke er forsiktige.
Nylig begynte et ondsinnet Telegram for desktop-installasjonsprogram å distribuere Purple Fox malware for å installere ytterligere farlige nyttelaster på infiserte enheter.
Dette installasjonsprogrammet er et kompilert AutoIt-skript kalt Telegram Desktop.exe som slipper to filer, et faktisk Telegram-installasjonsprogram og et ondsinnet nedlastingsprogram (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25. desember 2021
Telegram-installatører vil installere mer enn bare selve appen
Det hele starter som alle andre banale handlinger vi utfører på PC-ene våre, uten egentlig å vite hva som foregår bak lukkede dører.
Ifølge sikkerhetseksperter fra Minerva Lab, når den er henrettet, TextInputh.exe oppretter en ny mappe med navnet 1640618495 under:
C:\Users\Public\Videos\
Faktisk, dette TextInputh.exe filen brukes som en nedlaster for neste trinn av angrepet, da den kontakter en C&C-server og laster ned to filer til den nyopprettede mappen.
For å få en mer dyptgående oversikt over infeksjonsprosessen, her er hva TextInputh.exe utfører på den kompromitterte maskinen:
- Kopierer 360.tct med 360.dll navn, rundll3222.exe og svchost.txt til ProgramData-mappen
- Utfører ojbk.exe med kommandolinjen "ojbk.exe -a".
- Sletter 1.rar og 7zz.exe og avslutter prosessen
Det neste trinnet for skadelig programvare er å samle grunnleggende systeminformasjon, sjekke om noen sikkerhetsverktøy kjører på den, og til slutt sende alt dette til en hardkodet C2-adresse.
Når denne prosessen er fullført, lastes Purple Fox ned fra C2 i form av en .msi fil som inneholder kryptert skallkode for både 32- og 64-biters systemer.
Den infiserte enheten vil bli startet på nytt for at de nye registerinnstillingene skal tre i kraft, viktigst av alt, den deaktiverte brukerkontokontrollen (UAC).
Det er foreløpig ukjent hvordan skadelig programvare distribueres, men lignende skadevarekampanjer å utgi seg for legitim programvare ble distribuert via YouTube-videoer, forumspam og lyssky programvare nettsteder.
Hvis du ønsker å få en bedre forståelse av hele prosessen, oppfordrer vi deg til å lese hele diagnostikken fra Minerva Labs.
Mistenker du å ha lastet ned et installasjonsprogram som er infisert med skadelig programvare? Del dine tanker med oss i kommentarfeltet nedenfor.
