- Muitas pessoas estão usando o Telegram hoje em dia, como um meio mais seguro de comunicação.
- Mas toda essa privacidade pode ter um custo se não prestarmos atenção aos sinais.
- Um Telegram para instalador de desktop foi visto espalhando mais do que apenas privacidade.
- Embutido no instalador do Telegram está o temido rootkit de malware Purple Fox.
Todo mundo sabe agora que o Telegram está entre algumas das opções de software mais seguras para se comunicar com outras pessoas, se você realmente valorizar sua privacidade.
No entanto, como você descobrirá em breve, mesmo as opções mais seguras que existem podem se transformar em riscos à segurança se não tomarmos cuidado.
Recentemente, um telegrama malicioso para instalador de desktop começou a distribuir o malware Purple Fox para instalar outras cargas perigosas em dispositivos infectados.
Este instalador é um script AutoIt compilado chamado Telegram Desktop.exe que descarta dois arquivos, um instalador real do Telegram e um downloader malicioso (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔- MalwareHunterTeam (@malwrhunterteam) 25 de dezembro de 2021
Os instaladores do Telegram irão instalar mais do que apenas o aplicativo em si
Tudo começa como qualquer outra ação banal que realizamos em nossos PCs, sem realmente saber o que acontece a portas fechadas.
De acordo com especialistas em segurança do Minerva Lab, quando executado, TextInputh.exe cria uma nova pasta chamada 1640618495 debaixo:
C: \ Usuários \ Público \ Vídeos \
Na verdade, este TextInputh.exe O arquivo é usado como um downloader para o próximo estágio do ataque, uma vez que entra em contato com um servidor C&C e baixa dois arquivos para a pasta recém-criada.
A fim de obter uma visão mais aprofundada do processo de infecção, aqui está o que TextInputh.exe executa na máquina comprometida:
- Copia 360.tct com o nome 360.dll, rundll3222.exe e svchost.txt para a pasta ProgramData
- Executa ojbk.exe com a linha de comando “ojbk.exe -a”
- Exclui 1.rar e 7zz.exe e sai do processo
A próxima etapa do malware é coletar informações básicas do sistema, verificar se alguma ferramenta de segurança está sendo executada e, finalmente, enviar tudo isso para um endereço C2 codificado.
Assim que esse processo for concluído, o Purple Fox é baixado do C2 na forma de um .msi arquivo que contém o shellcode criptografado para sistemas de 32 e 64 bits.
O dispositivo infectado será reiniciado para que as novas configurações de registro tenham efeito, o mais importante, o Controle de Conta de Usuário (UAC) desabilitado.
Por enquanto, não se sabe como o malware está sendo distribuído, mas campanhas de malware semelhantes A falsificação de software legítimo foi distribuída por meio de vídeos do YouTube, spam de fórum e software obscuro sites.
Se você deseja obter um melhor entendimento de todo o processo, nós o encorajamos a ler o diagnóstico completo do Minerva Labs.
Você suspeita que baixou um instalador infectado por malware? Compartilhe suas idéias conosco na seção de comentários abaixo.
