Internet Sehat : Penginstal Telegram untuk Desktop yang berbahaya mendistribusikan malware Purple Fox untuk menginstal muatan berbahaya lebih lanjut pada perangkat yang terinfeksi.

Penginstal adalah skrip AutoIt yang dikompilasi bernama Telegram Desktop.exe yang menjatuhkan dua file, penginstal Telegram yang sebenarnya dan pengunduh berbahaya.

Tujuan dari file tambahan ini adalah untuk secara kolektif memblokir inisiasi proses 360 AV dan mencegah deteksi Purple Fox pada mesin yang disusupi. Langkah selanjutnya untuk malware adalah mengumpulkan informasi sistem dasar, memeriksa apakah ada alat keamanan yang berjalan di dalamnya, dan akhirnya mengirim semua itu ke alamat C2.

Setelah proses pengintaian ini selesai, Purple Fox diunduh dari C2 dalam bentuk file .msi yang berisi kode shell terenkripsi untuk sistem 32 dan 64-bit. Setelah eksekusi Purple Fox, mesin yang terinfeksi akan dihidupkan ulang agar pengaturan registri baru diterapkan dan yang terpenting, Kontrol Akun Pengguna (UAC) yang dinonaktifkan.

Menonaktifkan melewati UAC sangat penting karena memberikan program apa pun yang berjalan pada sistem yang terinfeksi, termasuk virus dan malware hak administrator. Secara umum, UAC mencegah penginstalan aplikasi yang tidak sah atau perubahan pengaturan sistem, sehingga harus tetap aktif di Windows setiap saat.

Menonaktifkannya memungkinkan Purple Fox untuk melakukan fungsi berbahaya seperti pencarian dan eksfiltrasi file, mematikan proses, penghapusan data, pengunduhan dan menjalankan kode, dan bahkan worming ke sistem Windows lainnya.

Saat ini, tidak diketahui bagaimana malware tersebut didistribusikan, tetapi kampanye malware serupa yang meniru perangkat lunak yang sah didistribusikan melalui video YouTube, spam forum, dan situs perangkat lunak yang berbahaya.

Sumber : Bleeping Computer