Telegram Desktop czy groźny wirus Purple Fox? Nie instaluj programów z niepewnych źródeł

Jan DomańskiSkomentuj
Telegram Desktop czy groźny wirus Purple Fox? Nie instaluj programów z niepewnych źródeł

{reklama-artykul}W ostatnim czasie można zauważyć aktywność malware podszywającego się pod desktopową wersję komunikatora Telegram. Jeśli nie będziecie uważać, a szukacie Telegram for Desktop, to jest szansa, że nieświadomie zainfekujecie swój komputer złośliwym kodem.

Wykryto złośliwe oprogramowanie udające aplikację Telegram Desktop

Badacze cyberbezpieczeństwa wykryli nielegalne oprogramowanie podające się za instalator komunikatora Telegram. Jak wykazali specjaliści z Minerva Labs, jest nim skompilowany skrypt Autolt w pliku o niewinnej nazwie „Telegram Desktop.exe”. Zamiast poprawnego downloadera aplikacji Telegram, uruchamiany jest AutoIT („TextInputh.exe”), który tworzy nowy folder o nazwie „1640618495” w katalogu „C:\Users\Public\Videos\”. Dalej łączy się z serwerem i pobiera dodatkowe informacje. Kopiuje wtedy dane do ProgramData, tworzy klucze rejestru, biblioteki DLL i inne pliki, a co bardzo ważne, wyłącza inicjacje procesów AV 360. Autorzy malware chcą zablokować działanie antywirusów i uniemożliwić wykrycie ataku na zainfekowanej maszynie.

Telegram Desktop czy groźny wirus Purple Fox? Nie instaluj go z niepewnych źródeł

Schemat tworzenia i pobierania plików przez Purple Fox ze spreparowanego instalatora Telegram Desktop / Foto: Minerva Labs

Złośliwe oprogramowania zbiera też podstawowe informacje o systemie, sprawdza czy działają na nim jakieś narzędzia zabezpieczeń i wysyła paczkę zakodowanych danych do serwera cyberprzestępcy. Dopiero wtedy pobierany jest właściwy Purple Fox i wyłączana jest kontrola konta użytkownika UAC dla procesów. To daje każdemu oprogramowaniu dostęp z uprawnieniami administratora. Wtedy zainfekowana maszyna jest już w pełni otwartym narzędziem dla przestępcy obsługującego po drugiej stronie Purple Fox. Może na niej uruchamiać kolejny złośliwy kod, pobierać dane, otwierać dowolne procesy itp. Może to być wykorzystane do bardzo wielu dalszych przestępczych praktyk, a czujność użytkownika jest uśpiona z racji równoczesnej instalacji faktycznego klienta komunikatora.

Chcesz być bezpieczny? Pobieraj oprogramowanie ze sprawdzonych źródeł

W tej chwili nie wiadomo, jak dokładnie rozprzestrzenia się omawiany malware. Podejrzewa się, że mógłby przez spam, fora, linki w filmach z YouTube czy podejrzane strony agregujące oprogramowanie. Aby uniknąć wykradzenia, skasowania czy zaszyfrowania danych (w tym wrażliwych), zdobycia przez cyberprzestępców dostępu do naszych loginów i haseł, stania się częścią sieci komputerów zombie czy ofiarą innego cyberataku związanego z Purple Fox lub innym złośliwym oprogramowaniem, najlepiej pobierać instalatory programów tylko z zaufanych źródeł. Takimi są renomowane witryny agregujące aplikacje, tak jak Instalki, czy oficjalne strony producentów danych programów.

Zobacz również: Uważaj na te płyty główne ASUSa. Mogą spalić swoje elementy, ASUS będzie je wymieniać

Udostępnij

Jan DomańskiDziennikarz publikujący w największych polskich mediach traktujących o nowych technologiach. Skupia się głównie na tematyce związanej ze sprzętem komputerowym i grami wideo.