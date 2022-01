W ostatnim czasie można zauważyć aktywność malware podszywającego się pod desktopową wersję komunikatora Telegram. Jeśli nie będziecie uważać, a szukacie Telegram for Desktop, to jest szansa, że nieświadomie zainfekujecie swój komputer złośliwym kodem.Badacze cyberbezpieczeństwa wykryli nielegalne oprogramowanie podające się za instalator komunikatora Telegram. Jak wykazali specjaliści z Minerva Labs, jest nim skompilowany skrypt Autolt w pliku o niewinnej nazwie "Telegram Desktop.exe". Zamiast poprawnego downloadera aplikacji Telegram, uruchamiany jest AutoIT ("TextInputh.exe"), który tworzy nowy folder o nazwie "1640618495" w katalogu "C:\Users\Public\Videos\". Dalej łączy się z serwerem i pobiera dodatkowe informacje. Kopiuje wtedy dane do ProgramData, tworzy klucze rejestru, biblioteki DLL i inne pliki, a co bardzo ważne, wyłącza inicjacje procesów AV 360. Autorzy malware chcą zablokować działanie antywirusów i uniemożliwić wykrycie ataku na zainfekowanej maszynie.

Schemat tworzenia i pobierania plików przez Purple Fox ze spreparowanego instalatora Telegram Desktop / Foto: Minerva Labs

Chcesz być bezpieczny? Pobieraj oprogramowanie ze sprawdzonych źródeł

Złośliwe oprogramowania zbiera też podstawowe informacje o systemie, sprawdza czy działają na nim jakieś narzędzia zabezpieczeń i wysyła paczkę zakodowanych danych do serwera cyberprzestępcy. Dopiero wtedy pobierany jest właściwy Purple Fox i wyłączana jest kontrola konta użytkownika UAC dla procesów. To daje każdemu oprogramowaniu dostęp z uprawnieniami administratora. Wtedy zainfekowana maszyna jest już w pełni otwartym narzędziem dla przestępcy obsługującego po drugiej stronie Purple Fox. Może na niej uruchamiać kolejny złośliwy kod, pobierać dane, otwierać dowolne procesy itp. Może to być wykorzystane do bardzo wielu dalszych przestępczych praktyk, a czujność użytkownika jest uśpiona z racji równoczesnej instalacji faktycznego klienta komunikatora.W tej chwili nie wiadomo, jak dokładnie rozprzestrzenia się omawiany malware. Podejrzewa się, że mógłby przez spam, fora, linki w filmach z YouTube czy podejrzane strony agregujące oprogramowanie. Aby uniknąć wykradzenia, skasowania czy zaszyfrowania danych (w tym wrażliwych), zdobycia przez cyberprzestępców dostępu do naszych loginów i haseł, stania się częścią sieci komputerów zombie czy ofiarą innego cyberataku związanego z Purple Fox lub innym złośliwym oprogramowaniem, najlepiej pobierać instalatory programów tylko z zaufanych źródeł. Takimi są renomowane witryny agregujące aplikacje, tak jak Instalki, czy oficjalne strony producentów danych programów.