- Många människor använder Telegram nuförtiden, som ett säkrare sätt att kommunicera.
- Men all denna integritet kan kosta en kostnad om vi inte uppmärksammar skyltarna.
- Ett installationsprogram för Telegram för skrivbordet har sett sprida mer än bara integritet.
- Inbäddat djupt i Telegram-installationsprogrammet är det fruktade Purple Fox malware rootkit.
Alla vet vid det här laget att Telegram är bland några av de säkraste programvaruvalen för att kommunicera med andra om du verkligen värdesätter din integritet.
Men som du snart kommer att få reda på kan även de säkraste alternativen där ute förvandlas till säkerhetsrisker om vi inte är försiktiga.
Nyligen började en skadlig installation av Telegram för stationära datorer distribuera skadlig programvara Purple Fox för att installera ytterligare farliga nyttolaster på infekterade enheter.
Det här installationsprogrammet är ett kompilerat AutoIt-skript med namnet Telegram Desktop.exe som släpper två filer, ett verkligt Telegram-installationsprogram och ett skadligt nedladdningsprogram (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 december 2021
Telegram-installatörer kommer att installera mer än bara själva appen
Det hela börjar som alla andra banala handlingar som vi utför på våra datorer, utan att egentligen veta vad som händer bakom stängda dörrar.
Enligt säkerhetsexperter från Minerva Lab, när den avrättas, TextInputh.exe skapar en ny mapp med namnet 1640618495 under:
C:\Users\Public\Videos\
Egentligen det här TextInputh.exe filen används som nedladdningsverktyg för nästa steg av attacken, eftersom den kontaktar en C&C-server och laddar ner två filer till den nyskapade mappen.
För att få en mer djupgående bild av infektionsprocessen, här är vad TextInputh.exe utför på den komprometterade maskinen:
- Kopierar 360.tct med 360.dll-namn, rundll3222.exe och svchost.txt till mappen ProgramData
- Kör ojbk.exe med kommandoraden "ojbk.exe -a".
- Tar bort 1.rar och 7zz.exe och avslutar processen
Nästa steg för skadlig programvara är att samla in grundläggande systeminformation, kontrollera om några säkerhetsverktyg körs på den och till sist skicka allt detta till en hårdkodad C2-adress.
När denna process är klar laddas Purple Fox ner från C2 i form av en .msi fil som innehåller krypterad skalkod för både 32- och 64-bitarssystem.
Den infekterade enheten kommer att startas om för att de nya registerinställningarna ska träda i kraft, viktigast av allt, den inaktiverade användarkontokontrollen (UAC).
Det är för närvarande okänt hur skadlig programvara distribueras men liknande skadliga kampanjer efterliknade legitim programvara distribuerades via YouTube-videor, forumspam och skum programvara webbplatser.
Om du vill få en bättre förståelse för hela processen rekommenderar vi att du läser hela diagnostiken från Minerva Labs.
Misstänker du att du har laddat ner ett installationsprogram som är infekterat med skadlig programvara? Dela dina tankar med oss i kommentarsfältet nedan.
