- Günümüzde birçok insan daha güvenli bir iletişim aracı olarak Telegram'ı kullanıyor.
- Ancak işaretlere dikkat etmezsek tüm bu mahremiyetin bir bedeli olabilir.
- Masaüstü yükleyicisi için bir Telegram'ın gizlilikten daha fazlasını yaydığı görüldü.
- Korkunç Purple Fox kötü amaçlı yazılım rootkit, Telegram yükleyicisinin derinliklerine gömülüdür.
Gizliliğinize gerçekten değer veriyorsanız, Telegram'ın başkalarıyla iletişim kurmak için en güvenli yazılım seçeneklerinden biri olduğunu artık herkes biliyor.
Ancak, yakında öğreneceğiniz gibi, dikkatli olmazsak, en güvenli seçenekler bile güvenlik tehlikelerine dönüşebilir.
Son zamanlarda, masaüstü yükleyicisi için kötü niyetli bir Telegram, virüslü cihazlara daha fazla tehlikeli yük yüklemek için Purple Fox kötü amaçlı yazılımını dağıtmaya başladı.
Bu yükleyici, adlı derlenmiş bir AutoIt betiğidir. Telegram Desktop.exe bu, iki dosya, gerçek bir Telegram yükleyici ve kötü amaçlı bir indirici (TextInputh.exe) bırakır.
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 Aralık 2021
Telegram yükleyicileri, uygulamanın kendisinden daha fazlasını yükleyecek
Her şey, kapalı kapılar ardında neler olup bittiğini bilmeden bilgisayarlarımızda gerçekleştirdiğimiz diğer sıradan eylemler gibi başlar.
Minerva Lab güvenlik uzmanlarına göre, yürütüldüğünde, TextInputh.exe adlı yeni bir klasör oluşturur 1640618495 altında:
C:\Kullanıcılar\Genel\Videolar\
Aslında, bu TextInputh.exe file, bir C&C sunucusuyla bağlantı kurduğu ve yeni oluşturulan klasöre iki dosya indirdiği için saldırının bir sonraki aşaması için bir indirici olarak kullanılır.
Enfeksiyon süreci hakkında daha derinlemesine bir görüş elde etmek için, işte şunlar: TextInputh.exe güvenliği ihlal edilmiş makinede şunları gerçekleştirir:
- 360.dll adı, rundll3222.exe ve svchost.txt ile 360.tct dosyasını ProgramData klasörüne kopyalar
- “ojbk.exe -a” komut satırı ile ojbk.exe'yi yürütür
- 1.rar ve 7zz.exe'yi siler ve işlemden çıkar
Kötü amaçlı yazılım için bir sonraki adım, temel sistem bilgilerini toplamak, üzerinde herhangi bir güvenlik aracının çalışıp çalışmadığını kontrol etmek ve son olarak tüm bunları sabit kodlanmış bir C2 adresine göndermektir.
Bu işlem tamamlandıktan sonra Purple Fox, C2'den bir .msi hem 32 hem de 64 bit sistemler için şifrelenmiş kabuk kodu içeren dosya.
Etkilenen cihaz, yeni kayıt defteri ayarlarının, en önemlisi, devre dışı bırakılmış Kullanıcı Hesabı Denetimi'nin (UAC) etkili olması için yeniden başlatılacaktır.
Kötü amaçlı yazılımın nasıl dağıtıldığı şimdilik bilinmiyor ancak benzer kötü amaçlı yazılım kampanyaları YouTube videoları, forum spam'i ve gölgeli yazılımlar aracılığıyla meşru yazılımın kimliğine bürünen yazılımlar dağıtıldı Siteler.
Tüm süreci daha iyi anlamak istiyorsanız, Minerva Labs'ın tam teşhisini okumanızı öneririz.
Kötü amaçlı yazılım bulaşmış bir yükleyici indirdiğinizden şüpheleniyor musunuz? Aşağıdaki yorumlar bölümünde düşüncelerinizi bizimle paylaşın.
