Vous voulez passer de WhatsApp à Telegram ? C’est une excellente idée, mais soyez prudent lorsque vous téléchargez de nouveaux messagers. Les spécialistes trouvent la version Telegram pour Windows sur le web « Enrichi » de mauvaises surprises.
ça circule sur le réseau Installateur de Telegram Messenger, qui contient la messagerie d’origine et le logiciel Purple Fox. Cependant, ce n’est pas une variante de Firefox, mais rootkits dangereux, permettant aux cybercriminels de prendre le contrôle de votre ordinateur. Par conséquent, il est préférable d’éviter d’installer la messagerie instantanée et d’autres programmes à partir de sources non officielles et non confirmées. Des précautions particulières doivent être prises lors de l’ouverture de liens provenant d’e-mails et de sites inconnus.
Voir: Qu’est-ce que c’est? Démolissez et installez un messager décent !
L’attaque divisée en morceaux
Cet installateur a été décrit par les experts de Minerva Labs. Il est très intéressant non seulement d’utiliser une messagerie réputée pour son haut niveau de sécurité, mais aussi un moyen d’attaquer les ordinateurs. La plupart de ces étapes sont évitées par l’antivirus sur l’ordinateur de la victime, car l’attaque a été divisée en petits fichiers. Ils sont inutiles seuls, mais en groupe, ils constituent une menace sérieuse.
Bien que le Purple Fox soit connu depuis 2018, le changement dans la manière d’attaquer le système lui a redonné sa force d’antan. De plus, de nouveaux composants ont été découverts ces derniers mois : FoxSocket est écrit en .NET et utilise WebSockets pour communiquer avec les contrôleurs de serveur, attaquer les bases de données SQL et de nouvelles façons de se déployer sur d’autres ordinateurs Windows. Cependant, le nouveau Purple Fox est plus difficile à repérer et plus efficace dans les activités malveillantes.
Comment ça marche? Le fichier nommé Telegram desktop.exe contient un script écrit en Autolt (utilisé pour automatiser les tâches sous Windows) qui installe Telegram.exe et un programme qui télécharge le composant rootkit – TextInputh.exe. Ce dernier, une fois lancé, se connecte au serveur contrôleur et télécharge les autres composants nécessaires à l’attaque. Le fichier téléchargé bloque, entre autres, le fonctionnement de divers processus du moteur antivirus. Dans la dernière étape, il est possible de télécharger le rootkit Purple Fox actuel.
Voir: WhatsApp et Signal sont mélangés à de la boue. Va chercher du pop-corn car il y a des ennuis
Au moment de la rédaction, le serveur d’audit est fermé, mais rien ne garantit qu’un nouveau n’arrivera pas.
Crédit d’image : Shutterstock, Minerva Labs
Sources de texte : Minerva Labs, Guardiancore, Trend Micro
« Certified introvert. Devoted internet fanatic. Subtly charming troublemaker. Thinker. »