Поддельные установщики Telegram распространяют опасную малварь

Эксперты призвали пользователей остерегаться загрузчика вредоносных программ, который маскируется под установщика популярной коммуникационной платформы Telegram.

Поддельные установщики Telegram распространяют опасную малварь. Фото: Pexels

По словам исследователей кибербезопасности Minerva Labs, неизвестный хакер распространяет два файла за одну загрузку. Первый является законным установщиком Telegram, а второй — программой AutoIT, также загрузчиком, но для вредоносного ПО PurpleFox.

После загрузки Telegram не запускается, а AutoIT, напротив, начинает работу. Похоже, это двухэтапная атака и первый этап из которых — разведка. Вредоносное ПО сначала просканирует устройство, отключит все механизмы защиты, установит несколько записей в реестре, а когда всё будет готово, отправит сигнал на свой сервер управления и контроля (C2), после чего может начаться загрузка вредоносного ПО.

Установленная малварь Purple Fox, может нанести большой ущерб скомпрометированному устройству. Функционал зловреда имеет широкий спектр от поиска файлов и их эксфильтрации до уничтожения процессов, удаления данных, а также проникновения в другие системы Windows или загрузки и запуска другого вредоносного кода.

В отчете Minerva labs не содержится более подробного описания того, кто стоит за атакой, в нем говорится, что многоступенчатый подход усложняет решениям по кибербезопасности обнаружение и устранение угрозы.

Из сообщения компании:

«Злоумышленник смог скрыть большую часть атаки от внимания, разделив атаку на несколько небольших файлов, большинство из которых имели очень низкие показатели обнаружения антивирусными ядрами, а на заключительном этапе это привело к заражению руткитами Purple Fox»

В компании также сообщают, что файлы малвари распространяются по-разному, от электронной почты до фишинговых сайтов. К тому времени, когда исследователи опубликовали свои результаты, сервер C2 уже не работал.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме