- Veliko ljudi danes uporablja Telegram kot varnejše sredstvo za komunikacijo.
- Toda vsa ta zasebnost lahko stane, če nismo pozorni na znake.
- Opazili smo, da namestitveni program Telegram za namizne računalnike širi več kot le zasebnost.
- Globoko v namestitveni program Telegrama je vgrajen grozljivi rootkit zlonamerne programske opreme Purple Fox.
Do zdaj vsi vedo, da je Telegram med nekaterimi najvarnejšimi možnostmi programske opreme za komunikacijo z drugimi, če resnično cenite svojo zasebnost.
Vendar, kot boste kmalu ugotovili, se lahko tudi najvarnejše možnosti spremenijo v varnostne nevarnosti, če nismo previdni.
Pred kratkim je zlonamerni namestitveni program Telegram za namizne računalnike začel distribuirati zlonamerno programsko opremo Purple Fox, da bi na okužene naprave namestil nadaljnje nevarne tovore.
Ta namestitveni program je preveden skript AutoIt z imenom Telegram Desktop.exe ki izpusti dve datoteki, dejanski namestitveni program Telegrama in zlonamerni prenosnik (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25. december 2021
Namestitveni programi Telegrama bodo namestili več kot samo aplikacijo
Vse se začne kot vsako drugo banalno dejanje, ki ga izvajamo na svojih računalnikih, ne da bi dejansko vedeli, kaj se dogaja za zaprtimi vrati.
Po mnenju varnostnih strokovnjakov iz Minerva Lab, ko se izvede, TextInputh.exe ustvari novo mapo z imenom 1640618495 Spodaj:
C:\Users\Public\Videos\
Pravzaprav, to TextInputh.exe se uporablja kot prenosnik za naslednjo stopnjo napada, saj vzpostavi stik s strežnikom C&C in naloži dve datoteki v novo ustvarjeno mapo.
Da bi dobili bolj poglobljen pogled na proces okužbe, je to nekaj TextInputh.exe izvaja na ogroženem stroju:
- Kopira 360.tct z imenom 360.dll, rundll3222.exe in svchost.txt v mapo ProgramData
- Izvede ojbk.exe z ukazno vrstico “ojbk.exe -a”.
- Izbriše 1.rar in 7zz.exe ter zapusti postopek
Naslednji korak za zlonamerno programsko opremo je zbrati osnovne sistemske informacije, preveriti, ali se na njem izvajajo kakšna varnostna orodja, in končno vse to poslati na trdo kodiran naslov C2.
Ko je ta postopek končan, se Purple Fox prenese s C2 v obliki a .msi datoteko, ki vsebuje šifrirano lupino za 32 in 64-bitne sisteme.
Okužena naprava se bo znova zagnala, da bodo začele veljati nove nastavitve registra, kar je najpomembneje, onemogočen nadzor uporabniškega računa (UAC).
Za zdaj ni znano, kako se zlonamerna programska oprema distribuira, vendar so podobne akcije zlonamerne programske opreme lažna legitimna programska oprema je bila distribuirana prek videoposnetkov v YouTubu, neželene pošte na forumih in senčne programske opreme strani.
Če želite bolje razumeti celoten postopek, vam priporočamo, da preberete celotno diagnostiko Minerva Labs.
Ali sumite, da ste prenesli namestitveni program, okužen z zlonamerno programsko opremo? Delite svoje misli z nami v spodnjem razdelku za komentarje.
