- Многи људи данас користе Телеграм, као сигурније средство за комуникацију.
- Али сва ова приватност може имати цену ако не обраћамо пажњу на знакове.
- Примећено је да програм за инсталацију Телеграма за десктоп рачунаре шири више од само приватности.
- Дубоко у инсталатеру Телеграма уграђен је страшни руткит малвера Пурпле Фок.
Сви већ знају да је Телеграм један од најсигурнијих софтверских избора за комуникацију са другима ако заиста цените своју приватност.
Међутим, као што ћете ускоро сазнати, чак и најсигурније опције могу се претворити у безбедносне опасности ако не будемо опрезни.
Недавно је злонамерни инсталатер Телеграма за десктоп почео да дистрибуира злонамерни софтвер Пурпле Фок да би инсталирао даље опасне корисне садржаје на зараженим уређајима.
Овај инсталатер је компајлирана АутоИт скрипта под називом Телеграм Десктоп.еке који испушта две датотеке, стварни инсталатер Телеграма и злонамерни програм за преузимање (ТектИнпутх.еке).
„Телеграм Десктоп.еке“: 41769д751фа735ф253е96а02д0цццадфец8ц7298666а4цаа5ц9ф90ааа826ецд1
🤔— МалвареХунтерТеам (@малврхунтертеам) 25. децембра 2021. године
Инсталатери Телеграма ће инсталирати више од саме апликације
Све почиње као и свака друга банална радња коју изводимо на нашим рачунарима, а да заправо не знамо шта се дешава иза затворених врата.
Према речима стручњака за безбедност из Минерва Лаб, када се изврши, ТектИнпутх.еке креира нову фасциклу под називом 1640618495 под:
Ц:\Усерс\Публиц\Видеос\
У ствари, ово ТектИнпутх.еке датотека се користи као програм за преузимање за следећу фазу напада, јер контактира Ц&Ц сервер и преузима две датотеке у новокреирани фолдер.
Да бисте добили детаљнији увид у процес инфекције, ево шта ТектИнпутх.еке врши на компромитованој машини:
- Копира 360.тцт са именом 360.длл, рундлл3222.еке и свцхост.ткт у фасциклу ПрограмДата
- Извршава ојбк.еке помоћу командне линије „ојбк.еке -а“.
- Брише 1.рар и 7зз.еке и излази из процеса
Следећи корак за малвер је прикупљање основних информација о систему, провера да ли су на њему покренути неки безбедносни алати и на крају све то послати на тврдо кодирану Ц2 адресу.
Када се овај процес заврши, Пурпле Фок се преузима са Ц2 у облику а .мси датотека која садржи шифровани схеллцоде за 32-битне и 64-битне системе.
Заражени уређај ће бити поново покренут да би нова подешавања регистра ступила на снагу, што је најважније, онемогућена контрола корисничког налога (УАЦ).
За сада је непознато како се малвер дистрибуира, али сличне кампање против малвера лажни легитимни софтвер дистрибуиран је путем ИоуТубе видео снимака, нежељене поште на форуму и сумњивог софтвера сајтови.
Ако желите да боље разумете цео процес, препоручујемо вам да прочитате комплетну дијагностику од Минерва Лабс.
Да ли сумњате да сте преузели инсталациони програм заражен малвером? Поделите своје мисли са нама у одељку за коментаре испод.
