- Daugelis žmonių šiais laikais naudoja „Telegram“ kaip saugesnę bendravimo priemonę.
- Tačiau visas šis privatumas gali kainuoti, jei nekreipiame dėmesio į ženklus.
- Buvo pastebėta, kad „Telegram“, skirta darbalaukio diegimo programai, skleidžia ne tik privatumą.
- „Telegram“ diegimo programoje įterptas baisus „Purple Fox“ kenkėjiškų programų šaknų rinkinys.
Jau visi žino, kad „Telegram“ yra viena iš saugiausių programinės įrangos pasirinkimų bendraujant su kitais, jei tikrai vertinate savo privatumą.
Tačiau, kaip netrukus sužinosite, net patys saugiausi variantai gali sukelti pavojų saugumui, jei nesame atsargūs.
Neseniai kenkėjiška „Telegram“, skirta darbalaukio diegimo programai, pradėjo platinti „Purple Fox“ kenkėjišką programą, kad užkrėstuose įrenginiuose įdiegtų daugiau pavojingų krovinių.
Ši diegimo programa yra sukompiliuotas „AutoIt“ scenarijus, pavadintas Telegram Desktop.exe kuri atmeta du failus, tikrąją „Telegram“ diegimo programą ir kenkėjišką atsisiuntimo programą (TextInputh.exe).
„Telegram Desktop.exe“: 41769d751fa735f253e96a02d0ccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔– MalwareHunterTeam (@malwrhunterteam) 2021 m. gruodžio 25 d
Telegramos montuotojai įdiegs ne tik pačią programėlę
Viskas prasideda kaip bet kuris kitas banalus veiksmas, kurį atliekame savo kompiuteriuose, iš tikrųjų nežinodami, kas vyksta už uždarų durų.
Anot „Minerva Lab“ saugumo ekspertų, kai įvykdomas, TextInputh.exe sukuria naują aplanką pavadinimu 1640618495 pagal:
C:\Vartotojai\Vieša\Vaizdo įrašai\
Tiesą sakant, ši TextInputh.exe failas naudojamas kaip atsisiuntimo priemonė kitam atakos etapui, nes susisiekia su C&C serveriu ir atsisiunčia du failus į naujai sukurtą aplanką.
Norėdami gauti išsamesnį infekcijos proceso vaizdą, štai ką TextInputh.exe atlieka pažeistoje mašinoje:
- Nukopijuoja 360.tct su 360.dll pavadinimu, rundll3222.exe ir svchost.txt į ProgramData aplanką
- Vykdo ojbk.exe komandų eilute „ojbk.exe -a“.
- Ištrina 1.rar ir 7zz.exe ir baigia procesą
Kitas kenkėjiškos programos veiksmas yra surinkti pagrindinę sistemos informaciją, patikrinti, ar joje neveikia kokie nors saugos įrankiai, ir galiausiai visa tai išsiųsti užkoduotu C2 adresu.
Kai šis procesas bus baigtas, Purple Fox atsisiųsta iš C2 kaip a .msi failas, kuriame yra užšifruotas apvalkalo kodas tiek 32, tiek 64 bitų sistemoms.
Užkrėstas įrenginys bus paleistas iš naujo, kad įsigaliotų nauji registro nustatymai, svarbiausia – išjungtas vartotojo abonemento valdymas (UAC).
Kol kas nežinoma, kaip platinama kenkėjiška programa, tačiau panašios kenkėjiškų programų kampanijos apsimetinėjanti teisėta programine įranga buvo platinama per „YouTube“ vaizdo įrašus, forumų šlamštą ir šešėlinę programinę įrangą svetaines.
Jei norite geriau suprasti visą procesą, rekomenduojame perskaityti visą Minerva Labs diagnostiką.
Ar įtariate, kad atsisiuntėte kenkėjiška programa užkrėstą diegimo programą? Pasidalykite savo mintimis su mumis toliau pateiktame komentarų skyriuje.
