지금쯤이면 Telegram이 개인 정보를 진정으로 소중하게 생각한다면 다른 사람과 의사 소통할 수 있는 가장 안전한 소프트웨어 옵션 중 하나라는 것을 모두가 알고 있습니다.
그러나 곧 알게 되겠지만 가장 안전한 옵션도 조심하지 않으면 보안 위험이 될 수 있습니다.
최근 악성 텔레그램 데스크톱 설치 프로그램이 퍼플 폭스 악성코드를 배포하여 감염된 장치에 위험한 페이로드를 추가로 설치하기 시작했습니다.
이 설치 프로그램은 Telegram Desktop.exe 라는 컴파일된 AutoIt 스크립트로 , 실제 Telegram 설치 프로그램과 악성 다운로더(TextInputh.exe)의 두 파일을 제거합니다.
Telegram 설치 프로그램은 앱 자체를 설치할 뿐만 아니라
이 모든 것은 닫힌 문 뒤에서 무슨 일이 일어나고 있는지 모른 채 컴퓨터에서 수행하는 다른 모든 사소한 작업처럼 시작됩니다.
Minerva Lab의 보안 전문가에 따르면 TextInputh.exe는 실행할 때 폴더에 1640618495 라는 새 폴더를 만듭니다 .
C:\Users\Public\Videos\
실제로 이 TextInputh.exe 파일은 C&C 서버에 접속하여 새로 생성된 폴더에 2개의 파일을 다운로드 하기 때문에 다음 공격 단계에서 다운로더로 사용된다.
감염 프로세스에 대한 더 자세한 이해를 위해 TextInputh.exe 가 손상된 시스템에서 수행하는 작업은 다음과 같습니다.
- 360.dll, rundll3222.exe 및 svchost.txt라는 360.tct를 ProgramData 폴더에 복사합니다.
- “ojbk.exe -a” 명령줄을 사용하여 ojbk.exe를 실행합니다.
- 1.rar 및 7zz.exe를 제거하고 프로세스를 종료합니다.
악성코드의 다음 단계는 기본 시스템 정보를 수집하고, 보안 도구가 작동하는지 확인하고, 마지막으로 이 모든 정보를 하드 코딩된 C2 주소로 보내는 것입니다.
이 프로세스가 완료되면 Purple Fox는 32비트 및 64비트 시스템 모두에 대해 암호화된 셸코드가 포함된 .msi 파일 로 C2에서 로드 됩니다.
감염된 장치는 새 레지스트리 설정을 적용하기 위해 다시 시작되며 가장 중요한 것은 비활성화된 UAC(사용자 계정 컨트롤)입니다.
맬웨어가 어떻게 확산되는지는 현재 알려지지 않았지만 합법적인 소프트웨어로 가장하는 유사한 맬웨어 캠페인이 YouTube 동영상, 포럼 스팸 및 의심스러운 소프트웨어가 있는 사이트를 통해 확산되었습니다.
맬웨어에 감염된 설치 프로그램을 다운로드했다고 생각하십니까? 아래 의견 섹션에서 의견을 공유하십시오.
답글 남기기