ورع! تطبيق تيليجرام مزيف يحتوي على برامج ضارة متداولة على الإنترنت
جاكرتا - تطبيق تيليجرام وهمية الرسائل الفورية المتداولة حاليا على شبكة الإنترنت، لأولئك منكم الذين ليس لديهم ذلك، لا تحاول أن تميل إلى تحميل هذا التطبيق.
لأنه ، وفقا لتقرير من قبل الباحث في الأمن السيبراني Minerva Labs ، قام شخص ما بتوزيع ملفين في تنزيل واحد للبرامج الضارة التي يطلق عليها اسم PurpleFox.
بشكل فريد ، يمكن للبرامج الضارة PurpleFox التهرب من اكتشاف مكافحة الفيروسات عن طريق تقسيم الهجوم إلى قطع أصغر تطير تحت الرادار.
تمكن هجوم PurpleFox من التهرب من الكشف عن طريق منتجات مكافحة الفيروسات مثل أفيرا ، ESET ، كاسبيرسكي ، مكافي ، باندا ، تريند مايكرو ، سيمانتيك ، وغيرها الكثير.
"نلاحظ في كثير من الأحيان الجهات الفاعلة التهديد باستخدام البرامج المشروعة لإسقاط الملفات الخبيثة. ولكن هذه المرة كان الأمر مختلفا. وتمكن مرتكبو هذا التهديد من ترك معظم الهجمات تحت الرادار من خلال تقسيم الهجمات الى ملفات صغيرة ، كان معدل اكتشاف معظمها منخفضا للغاية من قبل محركات مكافحة الفيروسات ، حيث ادت المراحل المتأخرة الى عدوى الجذور الخفية للثعلب الارجوانى " .
وتجدر الإشارة إلى أن Minerva Labs يكشف المثبت باستخدام برنامج نصي AutoIt المترجمة المسماة "تيليجرام سطح المكتب.exe"، في حين أن المشروعة هي برنامج AutoIT تشغيل التنزيل (TextInputh.exe).
نقلا عن TechRadar ، الأربعاء 5 يناير ، ستقوم هذه البرامج الضارة أولا بمسح الجهاز ، وتعطيل أي آليات دفاعية ، وتثبيت بعض إدخالات التسجيل ، وبمجرد الاستعداد ، ستشير البرامج الضارة إلى خادم القيادة والتحكم (C2) ، ويمكن بدء تنزيل المرحلة الثانية من البرامج الضارة.
عند تشغيل TextInputh.exe، فإنه سيتم إنشاء مجلد جديد ("1640618495") تحت "C:\Users\Public\Videos\" والاتصال C2 لتحميل الأداة المساعدة 7Z وأرشيف RAR (1.rar).
أرشيف RAR يحتوي على الحمولة وملفات التكوين، بينما البرنامج 7z فك كل شيء إلى مجلد ProgramData. TextInput.exe ثم ينفذ العديد من الإجراءات على الجهاز المصاب.
من بين أمور أخرى، نسخ 360.tct مع أسماء "360.dll"، rundll3222.exe، وsvchost.txt إلى مجلد ProgramData، تشغيل ojbk.exe مع سطر الأوامر "ojbk.exe-a"، ثم حذف 1.rar و 7zz. exe وإنهاء العملية
ثم أسقطت هذه الملفات الخمسة الإضافية على النظام المصاب ، وهي Calldriver .exe ، سائق .sys ، dll .dll ، قتل .bat ، speedmem2.hg. وتهدف الملفات الخمسة إلى قتل ومنع بدء عملية حماية 360 مضاد للفيروسات من الفضاء النواة، مما يسمح للمرحلة التالية من أدوات الهجوم لتشغيل غير مكتشفة.
"جمال هذا الهجوم هو أن يتم فصل كل مرحلة في ملف مختلف الذي لا طائل منه دون مجموعة الملفات بأكملها. وهذا يساعد المهاجمين على حماية ملفاتهم من الكشف عن مكافحة الفيروسات".
بعد حظر 360 مكافحة الفيروسات ، والبرامج الضارة ثم يجمع قائمة من معلومات النظام ، والتحقق لمعرفة ما إذا كانت قائمة طويلة من أدوات الأمان قيد التشغيل ، وأخيرا ، يرسل كل المعلومات إلى عنوان C2 مشفرة.
لمعلوماتك، بيربل فوكس، التي ظهرت لأول مرة في عام 2018، هي حملة البرمجيات الخبيثة التي حتى مارس 2021 يتطلب تفاعل المستخدم أو نوع من أداة طرف ثالث لإصابة أجهزة ويندوز.
Minerva مختبرات تقول أنها كثيرا ما تواجه أعدادا كبيرة من المثبتين الخبيثة الذين السفينة إصدارات من الجذور الخفية الثعلب الأرجواني باستخدام نفس سلسلة الهجوم. ليس من الواضح تماما كيف تم توزيعه ، على الرغم من أن الباحثين يعتقدون أنه تم إرسال بعضها عبر البريد الإلكتروني ، في حين أن البعض الآخر قد تم تنزيله من مواقع التصيد الاحتيالي.