Prudent! L’application Fake Telegram Contient Des Logiciels Malveillants Circulant Sur Internet

Fake Telegram circule actuellement sur Internet. (photo : Minerva Labs)

JAKARTA - La fausse application de messagerie instantanée Telegram circule actuellement sur Internet, pour ceux d’entre vous qui ne l’ont pas, n’essayez pas d’être tenté de télécharger cette application.

Parce que, selon un rapport du chercheur en cybersécurité Minerva Labs, quelqu’un a distribué deux fichiers en un seul téléchargement pour un logiciel malveillant surnommé PurpleFox.

De manière unique, le malware PurpleFox peut échapper à la détection antivirus en divisant l’attaque en plus petits morceaux qui passent sous le radar.

L’attaque PurpleFox a réussi à échapper à la détection par des produits antivirus tels que Avira, ESET, Kaspersky, McAfee, Panda, Trend Micro, Symantec et bien d’autres.

« Nous observons fréquemment des auteurs de menaces utilisant des logiciels légitimes pour déposer des fichiers malveillants. Mais cette fois, c’était différent. Les auteurs de cette menace ont pu laisser la plupart des attaques sous le radar en divisant les attaques en petits fichiers, dont la plupart avaient un taux de détection très faible par les moteurs antivirus, les derniers stades conduisant à l’infection par le rootkit Purple Fox », ont déclaré les chercheurs.

Il convient de noter que Minerva Labs détecte le programme d’installation à l’aide d’un script AutoIt compilé nommé « Telegram Desktop.exe », tandis que le légitime est le programme AutoIT exécutant le téléchargeur (TextInputh.exe).

Citant TechRadar, mercredi 5 janvier, ce malware analysera d’abord l’appareil, désactivera tous les mécanismes de défense, installera certaines entrées de registre et, une fois prêt, le logiciel malveillant signalera au serveur de commande et de contrôle (C2) et le logiciel malveillant de la deuxième étape de téléchargement pourra être démarré.

Lorsque TextInputh.exe est exécuté, il crée un nouveau dossier (« 1640618495 ») sous « C:\Users\Public\Videos\ » et se connecte à C2 pour télécharger l’utilitaire 7z et l’archive RAR (1.rar).

L’archive RAR contient la charge utile et les fichiers de configuration, tandis que le programme 7z décompresse tout dans le dossier ProgramData. TextInput.exe effectue ensuite plusieurs actions sur le périphérique infecté.

Entre autres choses, copiez 360.tct avec les noms « 360.dll », rundll3222.exe et svchost.txt dans le dossier ProgramData, exécutez ojbk.exe avec la ligne de commande « ojbk.exe -a », puis supprimez 1.rar et 7zz. exe et quittez le processus

Et puis déposé ces cinq fichiers supplémentaires sur le système infecté, à savoir Calldriver.exe, Driver.sys, dll.dll, kill.bat, speedmem2.hg. Les cinq fichiers visent à tuer et à bloquer le lancement du processus de protection des antivirus 360 à partir de l’espace du noyau, permettant ainsi à l’étape suivante des outils d’attaque de s’exécuter sans être détectée.

« La beauté de cette attaque est que chaque étape est séparée en un fichier différent qui est inutile sans l’ensemble des fichiers. Cela aide les attaquants à protéger leurs fichiers contre la détection antivirus », a déclaré un chercheur de Minerva Labs.

Après avoir bloqué les antivirus 360, le malware compile ensuite une liste d’informations système, vérifie si une longue liste d’outils de sécurité est en cours d’exécution et, enfin, envoie toutes les informations à une adresse C2 codée en dur.

Pour votre information, Purple Fox, qui est apparu pour la première fois en 2018, est une campagne de logiciels malveillants qui, jusqu’en mars 2021, nécessitait une interaction de l’utilisateur ou une sorte d’outil tiers pour infecter les machines Windows.

Minerva Labs dit qu’ils rencontrent fréquemment un grand nombre d’installateurs malveillants qui expédient des versions du rootkit Purple Fox en utilisant la même chaîne d’attaque. Il n’est pas tout à fait clair comment il a été distribué, bien que les chercheurs pensent que certains ont été envoyés par courrier électronique, tandis que d’autres peuvent avoir été téléchargés à partir de sites de phishing.