- Сьогодні багато людей використовують Telegram як безпечніший засіб спілкування.
- Але вся ця конфіденційність може коштувати, якщо ми не будемо звертати увагу на ознаки.
- Помічено, що програма встановлення Telegram для настільних комп’ютерів поширює більше, ніж просто конфіденційність.
- У програму встановлення Telegram вбудований страшний руткіт зловмисного програмного забезпечення Purple Fox.
Усі вже знають, що Telegram є одним із найбезпечніших програм для спілкування з іншими, якщо ви дійсно цінуєте свою конфіденційність.
Однак, як ви незабаром дізнаєтеся, навіть найбезпечніші варіанти можуть обернутися загрозою безпеці, якщо ми не будемо обережними.
Нещодавно зловмисний інсталятор Telegram для настільних комп’ютерів почав розповсюджувати зловмисне програмне забезпечення Purple Fox, щоб встановити додаткові небезпечні корисні навантаження на заражені пристрої.
Цей інсталятор є скомпільованим сценарієм AutoIt з ім’ям Telegram Desktop.exe який видаляє два файли, фактичний інсталятор Telegram і шкідливий завантажувач (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔— MalwareHunterTeam (@malwrhunterteam) 25 грудня 2021 року
Установники Telegram встановлять більше, ніж сам додаток
Все починається, як і будь-яка інша банальна дія, яку ми виконуємо на своїх комп’ютерах, навіть не знаючи, що відбувається за зачиненими дверима.
За словами експертів з безпеки з Minerva Lab, коли виконується, TextInputh.exe створює нову папку з іменем 1640618495 під:
C:\Users\Public\Videos\
Власне, це TextInputh.exe файл використовується як завантажувач для наступного етапу атаки, оскільки він зв'язується з сервером C&C і завантажує два файли до щойно створеної папки.
Щоб отримати більш глибоке уявлення про процес зараження, ось що TextInputh.exe виконує на зламаній машині:
- Копіює 360.tct з іменем 360.dll, rundll3222.exe і svchost.txt до папки ProgramData
- Виконує ojbk.exe за допомогою командного рядка «ojbk.exe -a».
- Видаляє файли 1.rar і 7zz.exe і завершує процес
Наступним кроком для зловмисного програмного забезпечення є збір основної системної інформації, перевірка, чи запущені на ньому якісь засоби безпеки, і, нарешті, відправка всього цього на жорстко закодовану адресу C2.
Після завершення цього процесу Purple Fox завантажується з C2 у формі a .msi файл, який містить зашифрований шелл-код як для 32, так і для 64-розрядних систем.
Заражений пристрій буде перезапущено, щоб нові параметри реєстру вступили в силу, головне, вимкнений контроль облікових записів користувачів (UAC).
Поки що невідомо, як поширюється зловмисне програмне забезпечення, але подібні кампанії зі зловмисним програмним забезпеченням Програмне забезпечення, що видає себе за легальне, поширювалося через відео YouTube, форумний спам і темне програмне забезпечення сайти.
Якщо ви хочете краще зрозуміти весь процес, ми рекомендуємо вам прочитати повну діагностику від Minerva Labs.
Ви підозрюєте, що завантажили інсталятор, заражений шкідливим програмним забезпеченням? Поділіться своїми думками з нами в розділі коментарів нижче.
