Purple Fox - uwaga na malware udające Telegram

Popularny komunikator internetowy doczekał się własnej fałszywki, która infekuje system. Jak go rozpoznać?

Program nazywa się Telegram for Desktop i co ciekawe - naprawdę instaluje komunikator, ale dorzuca w bonusie również Purple Fox. W pliku instalacyjnym znajduje się skrypt Telegram Desktop.exe, który podczas procesu instalacji komunikatora "dociąga" z sieci szkodliwe oprogramowanie. Jak wykazała analiza pliku, jest to skrypt TextInputh.exe, który w trakcie działania tworzy nowy folder o nazwie 1640618495 w systemowym folderze C:UsersPublicVideos i łączy się z serwerem C2, aby pobrać aplikację 7zz oraz archiwum o nazwie 1.rar. A w archiwum mamy otwartą Puszkę Pandory - co pokazuje poniższy schemat.

Co jest warte uwagi, to zacieranie śladów: po skopiowaniu pliku 360.tct jako 360.dll, zmianie rundll3222.exe, wklejeniu svchost.txt do folderu ProgramData i uruchomieniu ojbk.exe, szkodnik kasuje archiwum 1.rar i 7zz. Po instalacji malware monitoruje zasoby sprzętowe i sprawdza, czy działa antywirus, a raport przesyła na serwer C2. Pobiera z niego plik .msi, który zawiera zaszyfrowane polecenia dla systemów 32- i 64-bit. Po jego uruchomieniu wprowadzone zostają nowe klucze rejestru oraz wyłączona zostaje kontrola użytkownika (UAC).

Zobacz również:

Co dalej? To już zależy od cyberprzestępcy. Mając połączenie z zainfekowaną maszyną może wprowadzić na nią dowolnego wirusa lub innego rodzaju szkodliwe oprogramowanie. Dlatego osobom, które chcą mieć Telegram na swoim komputerze zalecamy pobieranie pliku instalacyjnego wyłącznie z zaufanych źródeł - najlepiej z oficjalnej witryny producenta.

Źródło: BleepingComputer

Aktualne ceny w sklepach