Hamis Telegram telepítővel terjed a Purple Fox vírus

Szerző: Biztonságportál | Utolsó módosítás: 2022.01.11.

A Purple Fox nevű kártékony program legújabb változata fertőzött Telegram telepítőprogramok révén kerül fel a számítógépekre.

A Minerva Labs biztonsági kutatóinak hálóján a Purple Fox nevű trójai akadt fent, amelyet alaposan górcső alá vettek. Ekkor derült ki, hogy egy meglehetősen összetett működésű, komolyabb károkozásra is képes szerzeményről van szó, amely jelenleg hamis Telegram for Desktop telepítők révén terjed. E kártékony fájlok legfontosabb jellemzője, hogy két állományt tartalmaznak. Egy teljesen ártalmatlan (eredeti) Telegram telepítőt, valamint egy TextInputh.exe nevű fájlt, amely minden baj forrása. Amennyiben ugyanis a felhasználó elindítja a telepítőt, akkor nem a legális szoftver indul el, hanem a trójai töltődik be, amely rögtön nekilát a nemkívánatos ténykedésének.

A Purple Foxhoz köthető letöltő program egy távoli kiszolgálóról beszerez egy 7z segédprogramot, valamint egy RAR (1.rar) állományt, amelyeket a "C:\Users\Public\Videos\" mappába másol be. A tömörített állományt a 7z segítségével kibontja a ProgramData mappába. Ezzel a károkozó alkalmassá válik az UAC kikapcsolására, valamint a víruskeresőkhöz és egyéb biztonsági szoftverekhez kapcsolódó folyamatok leállítására. (A trójai a fertőzés során egyszer újraindítja a számítógépet, de a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy ezt követően is életképes maradjon.)

A trójai lekérdezi a fertőzött rendszer legfontosabb paramétereit, valamint a telepített védelmi alkalmazások listáját. Ezeket az információkat feltölti a vezérlőszerverére, majd egy újabb, ezúttal .msi kiterjesztésű állományt szerez be. Ezáltal képessé válik fájlok felkutatására, adatok kiszivárogtatására, fájlműveletek elvégzésére, kódok futtatására vagy akár további számítógépek megfertőzésére.

A Purple Fox által fertőzött, hamis Telegram telepítők elsősorban kártékony weboldalakon tűnhetnek fel, de akár YouTube videók alatt is letölthetővé válhatnak. Ezért ezúttal is célszerű arra ügyelni, hogy a Telegram telepítőjét a hivatalos weboldalról szerezzük be.

Iratkozzon fel hírlevelünkre!

További hírek

Ismét adathalászok csaptak le a LastPass előfizetőire

Böngészős trükkel lopják a Facebook jelszavakat

Jönnek az automatizált ClickFix támadások

Meta: nem történt adatszivárgás az Instagramon

Riasztások

3

Discourse sebezhetőségek

Több mint egy tucat sérülékenységtől vált meg a Discourse.
3

Samsung biztonsági javítások

A Samsung hibajavításokat adott ki a mobil eszközeihez, illetve processzoraihoz.
3

IBM Db2 frissítések

Az IBM Db2 kapcsán három sebezhetőség merült fel.
4

IBM QRadar SIEM frissítések

Az újabb frissítést adott ki az IBM a QRadar SIEM-hez.
3

Xen biztonsági frissítések

A Xen kapcsán három sebezhetőség vált megszüntethetővé.
4

OpenSSL sebezhetőségek

Az OpenSSL egy tucat biztonsági hiba miatt kapott hibajavítást.
4

Firefox sérülékenységek

A Mozilla Firefox két biztonsági javítást készített a Firefoxhoz.
3

Next.js biztonsági rés

A Next.js kapcsán egy biztonsági frissítés vált elérhetővé.
4

PyTorch sebezhetőség

A PyTorch esetében egy súlyos sérülékenységre derült fény.
2

Apache Hadoop sérülékenység

Az Apache Hadoop HDFS natív kliens egy hibajavítást kapott.

	ESET Mobile Security for Android 1 eszköz 3 év Új licenc
	9990 Ft

	G Data AntiVirus 1 eszköz 1 év Új licenc
	7500 Ft

	G Data Internet Security 2 év 4 eszköz Új licenc
	36000 Ft

Partnerhírek

Pályázati Felhívás - „Az év információbiztonsági tartalom előállítója 2026”

A 2004-ben alakult Hétpecsét Információbiztonsági Egyesület céljai között szerepel az információvédelem kultúrájának és ismereteinek magyarországi terjesztése. Ezzel a célunkkal összhangban 2025-ben ismét meghirdetjük a „Az év információbiztonsági tartalom előállítója - 2026” pályázatot.