Установщик Telegram для персональных компьютеров распространяет вредоносное ПО Purple Fox для установки дополнительных вредоносных программ на зараженные устройства.
Установщик представляет собой эксплойт AutoIt с именем «Telegram Desktop.exe», который удаляет два файла: фактический установщик Telegram и вредоносный загрузочный файл.
Официальный установщик Telegram, сброшенный вместе с загрузочным файлом, не запускается, программа AutoIT сама запускает вредоносный файл (TextInputh.exe).
Программа распаковывает все в папку ProgramData. Следующим шагом вредоносной программы является сбор базовой системной информации, проверка, работают ли на ней какие-либо инструменты безопасности, и, наконец, отправка всей этой информации на запрограммированный адрес.
После завершения процесса разведки Purple Fox загружается с сервера в виде файла .msi, который содержит зашифрованный код. После запуска Purple Fox зараженное устройство будет перезагружено, чтобы вступили в силу новые параметры реестра, в первую очередь отключенный контроль учетных записей пользователей (UAC).
