Chcesz się przesiąść z WhatsAppa na Telegram? To świetny pomysł, ale uważaj, skąd ściągasz nowy komunikator. Specjaliści znaleźli w sieci wersję Telegrama dla Windowsa „wzbogaconą” o nieprzyjemną niespodziankę.
W sieci krąży instalator komunikatora Telegram, zawierający oryginalny komunikator oraz oprogramowanie Purple Fox. Nie jest to jednak odmiana Firefoxa, ale niebezpieczny rootkit, pozwalający cyberprzestępcom przejąć kontrolę nad komputerem. Dlatego najlepiej unikać instalowania komunikatorów i innych programów z nieoficjalnych i niepotwierdzonych źródeł. Szczególną ostrożność należy zachować przy otwieraniu linków z e-maili i nieznanych stron.
Zobacz: WhatsApp? Wywal to i zainstaluj porządny komunikator!
Ten instalator został opisany przez ekspertów z Minerva Labs. Ciekawe jest nie tylko wykorzystanie komunikatora słynącego z wysokiego poziomu zabezpieczeń, ale też sposób atakowania komputera. Większość kroków umyka antywirusom na komputerze ofiary, bo atak został podzielony na malutkie pliki. Samodzielnie są one bezużyteczne, ale w grupie stanowią poważne zagrożenie.
Choć Purple Fox jest znany od 2018 roku, zmiana sposobu atakowania systemu przywróciła mu dawny wigor. Dodatkowo w ostatnich miesiącach odkryte zostały nowe komponenty: FoxSocket napisany w .NET i wykorzystujący WebSockets do komunikacji z serwerem kontrolującym, atakujący bazy SQL, a także nowy sposób propagacji na inne komputery z Windowsem. Koniec końców nowy Purple Fox jest trudniejszy do wykrycia i skuteczniejszy w szkodliwych działaniach.
Jak to działa? Plik o nazwie Telegram desktop.exe zawiera skrypt napisany w języku Autolt (służy do automatyzacji zadań na Windowsie), instalujący Telegram.exe oraz program ściągający komponenty rootkitu – TextInputh.exe. Ten drugi po uruchomieniu łączy się z serwerem kontrolującym i ściąga kolejne komponenty, niezbędne do ataku. Ściągnięte pliki blokują między innymi działanie różnych procesów silników antywirusowych. W ostatnim kroku możliwe jest ściągnięcie właściwego rootkitu Purple Fox.
Zobacz: WhatsApp i Signal zmieszane z błotem. Lećcie po popcorn, bo jest zadyma
W chwili pisania artykułu serwer kontrolujący był zamknięty, ale nie ma gwarancji, że nie pojawi się nowy.
Źródło zdjęć: Shutterstock, Minerva Labs
Źródło tekstu: Minerva Labs, Guardicore, Trend Micro