但是,您很快就會發現,如果我們不小心,即使是最安全的選擇也會變成安全風險。
最近,惡意 Telegram 桌面安裝程序開始分發 Purple Fox 惡意軟件,以在受感染設備上安裝額外的危險負載。
這個安裝程序是一個名為Telegram Desktop.exe的編譯後的 AutoIt 腳本,它刪除了兩個文件:實際的 Telegram 安裝程序和惡意下載程序 (TextInputh.exe)。
Telegram 安裝程序不僅會安裝應用程序本身
這一切都像我們在計算機上執行的任何其他瑣碎操作一樣開始,不知道閉門造車會發生什麼。
據 Minerva Lab 安全專家介紹,TextInputh.exe在運行時會在文件夾中新建一個名為1640618495 的文件夾:
C:\Users\Public\Videos\
事實上,這個TextInputh.exe文件在攻擊的下一階段被用作下載器,因為它聯繫 C&C 服務器並將兩個文件下載到新創建的文件夾中。
為了更詳細地了解感染過程,以下是TextInputh.exe在受感染機器上執行的操作:
- 將名為 360.dll、rundll3222.exe 和 svchost.txt 的 360.tct 複製到 ProgramData 文件夾
- 使用“ojbk.exe -a”命令行運行 ojbk.exe。
- 刪除 1.rar 和 7zz.exe 並結束進程
惡意軟件的下一步是收集基本的系統信息,檢查是否有任何安全工具正在處理它,最後將所有這些信息發送到硬編碼的 C2 地址。
完成此過程後,Purple Fox 作為.msi文件從 C2 加載,該文件包含適用於 32 位和 64 位系統的加密 shellcode。
受感染的設備將重新啟動以使新的註冊表設置生效,最重要的是,禁用的用戶帳戶控制 (UAC)。
惡意軟件的傳播方式目前未知,但類似的惡意軟件活動(冒充合法軟件)已通過 YouTube 視頻、論壇垃圾郵件和帶有可疑軟件的網站進行傳播。
您是否懷疑自己下載了受惡意軟件感染的安裝程序?在下面的評論部分與我們分享您的想法。
發佈留言