- Wiele osób korzysta obecnie z Telegrama jako bezpieczniejszego środka komunikacji.
- Ale cała ta prywatność może mieć swoją cenę, jeśli nie zwracamy uwagi na znaki.
- Instalator Telegramu dla komputerów stacjonarnych rozprzestrzenia nie tylko prywatność.
- Głęboko w instalatorze Telegrama osadzony jest przerażający rootkit malware Purple Fox.
Wszyscy wiedzą już, że Telegram jest jednym z najbezpieczniejszych programów do komunikacji z innymi, jeśli naprawdę cenisz swoją prywatność.
Jednak, jak wkrótce się przekonasz, nawet najbezpieczniejsze dostępne opcje mogą stać się zagrożeniem dla bezpieczeństwa, jeśli nie będziemy ostrożni.
Niedawno złośliwy instalator Telegram dla komputerów stacjonarnych zaczął rozpowszechniać szkodliwe oprogramowanie Purple Fox w celu instalowania kolejnych niebezpiecznych ładunków na zainfekowanych urządzeniach.
Ten instalator to skompilowany skrypt AutoIt o nazwie Telegram Desktop.exe który upuszcza dwa pliki, rzeczywisty instalator Telegrama i złośliwy downloader (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 grudnia 2021
Instalatorzy Telegrama zainstalują więcej niż samą aplikację
Wszystko zaczyna się jak każda inna banalna czynność, którą wykonujemy na naszych komputerach, nie wiedząc tak naprawdę, co dzieje się za zamkniętymi drzwiami.
Według ekspertów ds. bezpieczeństwa z Minerva Lab, po wykonaniu, TextInputh.exe tworzy nowy folder o nazwie 1640618495 pod:
C:\Użytkownicy\Publiczne\Filmy\
Właściwie to TextInputh.exe plik służy jako downloader w kolejnym etapie ataku, ponieważ kontaktuje się z serwerem C&C i pobiera dwa pliki do nowo utworzonego folderu.
Aby uzyskać bardziej dogłębny obraz procesu infekcji, oto co TextInputh.exe wykonuje na zaatakowanej maszynie:
- Kopiuje plik 360.tct z nazwą 360.dll, rundll3222.exe i svchost.txt do folderu ProgramData
- Wykonuje ojbk.exe za pomocą wiersza polecenia „ojbk.exe -a”
- Usuwa 1.rar i 7zz.exe i kończy proces
Następnym krokiem dla złośliwego oprogramowania jest zebranie podstawowych informacji o systemie, sprawdzenie, czy działają na nim jakieś narzędzia bezpieczeństwa, a na koniec wysłanie wszystkich na zakodowany na stałe adres C2.
Po zakończeniu tego procesu Purple Fox jest pobierany z C2 w postaci .msi plik zawierający zaszyfrowany kod powłoki dla systemów 32- i 64-bitowych.
Zainfekowane urządzenie zostanie ponownie uruchomione, aby nowe ustawienia rejestru zaczęły obowiązywać, a przede wszystkim wyłączona kontrola konta użytkownika (UAC).
Na razie nie wiadomo, w jaki sposób rozprzestrzenia się złośliwe oprogramowanie, ale podobne kampanie złośliwego oprogramowania podszywanie się pod legalne oprogramowanie było rozpowszechniane za pośrednictwem filmów z YouTube, spamu na forach i podejrzanego oprogramowania witryny.
Jeśli chcesz lepiej zrozumieć cały proces, zachęcamy do zapoznania się z pełną diagnostyką Minerva Labs.
Czy podejrzewasz, że pobrałeś instalatora zainfekowanego złośliwym oprogramowaniem? Podziel się z nami swoimi przemyśleniami w sekcji komentarzy poniżej.
