Agora, todos sabem que o Telegram é uma das opções de software mais seguras para se comunicar com outras pessoas, se você realmente valoriza sua privacidade.
No entanto, como você descobrirá em breve, mesmo as opções mais seguras podem se tornar um risco à segurança se não tomarmos cuidado.
Recentemente, o instalador de desktop malicioso do Telegram começou a distribuir malware do Purple Fox para instalar cargas perigosas adicionais em dispositivos infectados.
Este instalador é um script AutoIt compilado chamado Telegram Desktop.exe que remove dois arquivos: o instalador real do Telegram e o downloader malicioso (TextInputh.exe).
Os instaladores do Telegram não instalarão apenas o aplicativo em si
Tudo começa como qualquer outra ação trivial que realizamos em nossos computadores, sem saber o que está acontecendo a portas fechadas.
De acordo com especialistas em segurança do Minerva Lab , ao ser executado, TextInputh.exe cria uma nova pasta chamada 1640618495 na pasta:
C:\Users\Public\Videos\
Na verdade, esse arquivo TextInputh.exe é usado como um downloader no próximo estágio do ataque, uma vez que entra em contato com o servidor C&C e baixa dois arquivos para a pasta recém-criada.
Para obter uma compreensão mais detalhada do processo de infecção, veja o que TextInputh.exe faz na máquina comprometida:
- Copia 360.tct com o nome 360.dll, rundll3222.exe e svchost.txt para a pasta ProgramData
- Executa ojbk.exe usando a linha de comando “ojbk.exe -a”.
- Remove 1.rar e 7zz.exe e termina o processo
A próxima etapa do malware é coletar informações básicas do sistema, verificar se alguma ferramenta de segurança está funcionando nele e, finalmente, enviar todas essas informações para o endereço C2 embutido em código.
Após a conclusão desse processo, o Purple Fox é carregado do C2 como um arquivo .msi que contém o shellcode criptografado para sistemas de 32 e 64 bits.
O dispositivo infectado será reiniciado para que as novas configurações de registro tenham efeito e, o mais importante, o Controle de Conta de Usuário (UAC) desabilitado.
Como o malware se espalha é atualmente desconhecido, mas campanhas de malware semelhantes, se passando por software legítimo, foram espalhadas por meio de vídeos do YouTube, spam de fóruns e sites com software questionável.
Você suspeita que baixou um instalador infectado por malware? Compartilhe suas idéias conosco na seção de comentários abaixo.
Deixe um comentário