Ormai, tutti sanno che Telegram è una delle opzioni software più sicure per comunicare con gli altri se apprezzi davvero la tua privacy.
Tuttavia, come scoprirai presto, anche le opzioni più sicure possono trasformarsi in un rischio per la sicurezza se non stiamo attenti.
Di recente, il programma di installazione desktop dannoso di Telegram ha iniziato a distribuire malware Purple Fox per installare payload pericolosi aggiuntivi sui dispositivi infetti.
Questo programma di installazione è uno script AutoIt compilato chiamato Telegram Desktop.exe che rimuove due file: l’effettivo programma di installazione di Telegram e il downloader dannoso (TextInputh.exe).
Gli installatori di Telegram non installeranno solo l’app stessa
Tutto inizia come qualsiasi altra azione banale che eseguiamo sui nostri computer, senza sapere cosa succede dietro le porte chiuse.
Secondo gli esperti di sicurezza di Minerva Lab , durante l’ esecuzione, TextInputh.exe crea una nuova cartella denominata 1640618495 nella cartella:
C:\Users\Public\Videos\
In effetti, questo file TextInputh.exe viene utilizzato come downloader nella fase successiva dell’attacco, poiché contatta il server C&C e scarica due file nella cartella appena creata.
Per ottenere una comprensione più dettagliata del processo di infezione, ecco cosa fa TextInputh.exe sulla macchina compromessa:
- Copia 360.tct denominato 360.dll, rundll3222.exe e svchost.txt nella cartella ProgramData
- Esegue ojbk.exe utilizzando la riga di comando “ojbk.exe -a”.
- Rimuove 1.rar e 7zz.exe e termina il processo
Il passaggio successivo del malware consiste nel raccogliere informazioni di base sul sistema, verificare se ci sono strumenti di sicurezza funzionanti e infine inviare tutte queste informazioni all’indirizzo C2 codificato.
Al completamento di questo processo, Purple Fox viene caricato da C2 come file .msi che contiene shellcode crittografato per sistemi a 32 e 64 bit.
Il dispositivo infetto verrà riavviato per rendere effettive le nuove impostazioni del registro e, soprattutto, il controllo dell’account utente (UAC) disabilitato.
Il modo in cui il malware si diffonde è attualmente sconosciuto, ma campagne di malware simili, spacciandosi per software legittimo, sono state diffuse attraverso video di YouTube, forum di spam e siti con software discutibile.
Sospetti di aver scaricato un programma di installazione infetto da malware? Condividi i tuoi pensieri con noi nella sezione commenti qui sotto.
Lascia un commento