Purple Fox

Falscher Telegram-Installer verbirgt Malware-Schleuder

Uhr
von Coen Kaat und slk

Wer Telegram auch auf dem Desktop-PC nutzen will, sollte aufpassen. Zurzeit kursiert nämlich eine infizierte Version, die nicht die Messenger-App, sondern die Schadsoftware Purple Fox installiert.

(Source: bloomua / Fotolia.com)
(Source: bloomua / Fotolia.com)

Unbekannte nutzen die Popularität der Messenger-App Telegram derzeit aus, um Rechner zu kapern und das Schadprogramm Purple Fox zu verbreiten. Wer die Desktop-Version der App herunterlädt, sollte daher genau darauf achten, woher die Installationsdatei kommt.

Zurzeit kursieren bösartige Installer mit der Bezeichnung "Telegram Desktop.exe", wie Minerva Labs warnt. Diese beinhalten zwar die korrekte Installationsdatei. Diese wird jedoch nicht ausgeführt. Stattdessen wird eine zweite, darin enthaltene Anwendung ausgeführt: "TextInputh.exe".

Dabei handelt es sich um einen Downloader. Dieser kreiert einen neuen Unterordner ("1640618495") im Ordner "Users\Public\Videos\" auf dem Laufwerk C. Anschliessend kontaktiert der Schädling seinen Kontrollserver, lädt weitere Dateien herunter und führt zusätzliche Anwendungen aus.

So deaktiviert der Schädling zunächst Antivirenlösungen und auch die "User Account Control"-Funktion. Diese Funktion verhindert im Normalfall, das Systemeinstellungen verändert oder Applikationen unerlaubt installiert werden.

Der infizierte Rechner merkt daher nicht, wie die Malware damit beginnt, Informationen über den Computer zu sammeln und an die Zentrale zu schicken. Erst nach diesem Schritt wird die Purple-Fox-Malware auf den Rechner geladen. Die Malware hat nun quasi freie Hand: Sie kann Dateien suchen, exfiltrieren und löschen, Programme beenden sowie Code ausführen.

Wie der schädliche Installer verbreitet wird, ist gemäss einem Bericht von Bleepingcomputer noch nicht bekannt. Allerdings hätten vergleichbare Malwarekampagnen in der Vergangenheit dafür Youtube-Videos, Spam in Internetforen oder zwielichtigen Software-Seiten genutzt.

Ein weiteres Problem aus dem Internet, ist frei zugänglicher Code. Wer diesen für eigene Projekte von unbekannten Websites kopiert, sollte genau darauf achten, was anschliessend eingefügt wird. Es könnte nämlich etwas komplett anderes sein, wie Sie hier nachlesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_241883