- Mnoho ľudí v súčasnosti používa telegram ako bezpečnejší prostriedok na komunikáciu.
- Všetko toto súkromie však môže stáť cenu, ak nevenujeme pozornosť znameniam.
- Bolo vidieť, že telegram pre inštalačný program pre stolné počítače šíri viac ako len súkromie.
- Hlboko v inštalátore Telegramu je zakomponovaný obávaný malvérový rootkit Purple Fox.
Každý už vie, že Telegram patrí medzi niektoré z najbezpečnejších softvérových možností na komunikáciu s ostatnými, ak si skutočne ceníte svoje súkromie.
Ako však čoskoro zistíte, aj tie najbezpečnejšie možnosti sa môžu zmeniť na bezpečnostné riziká, ak si nedáme pozor.
Nedávno začal škodlivý telegram pre inštalačný program pre stolné počítače distribuovať malvér Purple Fox, aby nainštaloval ďalšie nebezpečné užitočné zaťaženia na infikované zariadenia.
Tento inštalačný program je skompilovaný skript AutoIt s názvom Telegram Desktop.exe ktorý vypustí dva súbory, skutočný inštalačný program telegramu a škodlivý sťahovač (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25. decembra 2021
Inštalátori telegramu nainštalujú viac než len samotnú aplikáciu
Všetko to začína ako každá iná banálna akcia, ktorú vykonávame na našich počítačoch, bez toho, aby sme skutočne vedeli, čo sa deje za zatvorenými dverami.
Tvrdia to bezpečnostní experti z Minerva Lab, keď sa vykoná, TextInputh.exe vytvorí nový priečinok s názvom 1640618495 pod:
C:\Používatelia\Verejné\Videá\
Vlastne toto TextInputh.exe sa používa ako downloader pre ďalšiu fázu útoku, pretože kontaktuje C&C server a stiahne dva súbory do novovytvoreného priečinka.
Ak chcete získať hlbší pohľad na proces infekcie, tu je to, čo TextInputh.exe vykoná na napadnutom počítači:
- Skopíruje 360.tct s názvom 360.dll, rundll3222.exe a svchost.txt do priečinka ProgramData
- Spustí ojbk.exe pomocou príkazového riadku „ojbk.exe -a“.
- Vymaže 1.rar a 7zz.exe a ukončí proces
Ďalším krokom pre malvér je zhromaždiť základné systémové informácie, skontrolovať, či na ňom bežia nejaké bezpečnostné nástroje, a nakoniec to všetko odoslať na pevne zakódovanú adresu C2.
Po dokončení tohto procesu sa Purple Fox stiahne z C2 vo forme a .msi súbor, ktorý obsahuje zašifrovaný shell kód pre 32 aj 64-bitové systémy.
Infikované zariadenie sa reštartuje, aby sa prejavili nové nastavenia registra, čo je najdôležitejšie, vypnutá kontrola používateľských účtov (UAC).
Zatiaľ nie je známe, ako sa malvér distribuuje, ale podobné malvérové kampane napodobňujúci legitímny softvér bol distribuovaný prostredníctvom videí YouTube, spamu na fórach a tieňového softvéru stránky.
Ak chcete lepšie porozumieť celému procesu, odporúčame vám prečítať si celú diagnostiku od spoločnosti Minerva Labs.
Máte podozrenie, že ste si stiahli inštalačný program infikovaný malvérom? Podeľte sa s nami o svoje myšlienky v sekcii komentárov nižšie.
