Watch out for fake Telegram web.

Beware Fake Telegram Web, Instantly Download Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Install Install Install Install Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Instant Inst

One of the most popular chat applications used by people who wanted data security would not escape Telegram, and it was used to emit malware on victims.

According to a report by the website, Cyberpress has mentioned the detection of a malware in the form of memory (In-Memory) through a fake Telegram website. This website is called telegram [.] com (observed to be different from the actual website used .org). The website is almost exactly the same as the genuine Telegram website, and the victim is persuaded to download a file that claims to be a file for the installation of the Telegram application. The file is called tsetup-x64.6.exe, which is also similar to the installation file of the genuine application, so that the victim is usually not Eh, mind.

But after running to install the application successfully, it will lead to the embedding of complex multi-stage Infection malware, starting with a Command to detect certain processes, such as 0tray.exe, to determine if the machine has Anti-Virus installed on it, and a PowerShell script to add every System Drive to the Exclusion List of Windows Defender, so that the malware can run conveniently without being detected on the excluded drive.

After that, the malware runs a malware DLL file called AutoRecoverDat.dll through rundll32.exe, which is a tool for running Windows-built DLL files to decode the last payload from an XML file called GPUCache.xml, create an Executable file in Portable Executable (PE) via Runtime, and then run directly on memory.

When running on memory successfully, the malware will make contact with the control server (C2 or Command and Control) located on the IP number 27.50.59.77 via port 18852. The IP number has a part to do with the domain of the fake application - jiijua [.] com, telegrgam [.] com, telefgram [.] com, and tejlegram [.] com. This connection will allow hackers to send commands, update new payloads, and ensure that they are always contacted for malware commands (Persustent) through the channel to ultimately take control of the victim's machine.

4/12 Edited to

จากประสบการณ์ของผมเกี่ยวกับการใช้งาน Telegram และการติดตั้งโปรแกรมจากอินเทอร์เน็ต พบว่ามัลแวร์ชนิดที่รันบนหน่วยความจำเป็นภัยที่ยากจะตรวจจับ เพราะมันไม่ทิ้งร่องรอยบนฮาร์ดดิสก์เหมือนมัลแวร์ทั่วไป ทำให้โปรแกรมแอนตี้ไวรัสหลายตัวไม่สามารถจับได้ทันที นอกจากนี้การใช้ชื่อไฟล์ติดตั้งที่ปลอมแปลงอย่าง tsetup-x64.6.exe ยังทำให้ผู้ใช้หลงเชื่อและติดตั้งมัลแวร์โดยไม่รู้ตัว จึงแนะนำให้ดาวน์โหลดแอป Telegram อย่างเป็นทางการจากเว็บไซต์ telegram.org เท่านั้น อย่าคลิกลิงก์หรือดาวน์โหลดจากแหล่งที่ไม่น่าเชื่อถือ หากต้องการติดตั้งใหม่ควรตรวจสอบ URL อย่างละเอียดและสังเกตนามสกุลเว็บไซต์ว่าจริงหรือปลอม สำหรับการป้องกันเพิ่มเติม ควรอัพเดทระบบปฏิบัติการและโปรแกรมแอนตี้ไวรัสเป็นประจำ การตั้งค่าการอนุญาตให้แอปพลิเคชันรันสคริปท์ PowerShell หรือคำสั่งอื่นๆ ก็ควรระมัดระวัง เพราะมัลแวร์ที่อธิบายไว้มีพฤติกรรมที่ใช้สคริปท์ PowerShell เพื่อแก้ไขการตั้งค่าระบบ ทำให้มันล่วงล้ำระบบความปลอดภัยของ Windows Defender ได้ ในกรณีที่สงสัยว่าเครื่องคอมพิวเตอร์ติดมัลแวร์ ควรทำการสแกนระบบด้วยโปรแกรมป้องกันไวรัสหลายๆ ตัว พร้อมทั้งตรวจสอบ Process ที่ทำงานบนเครื่องเพื่อค้นหากระบวนการแปลกปลอมอย่าง 0tray.exe ที่มัลแวร์อาจใช้ตรวจสอบแอนตี้ไวรัส สุดท้าย การรับรู้และตระหนักถึงการหลอกลวงเว็บไซต์ปลอม ตลอดจนการแชร์ข้อมูลเหล่านี้ให้กับเพื่อนและครอบครัว จะช่วยลดโอกาสตกเป็นเหยื่อมัลแวร์อย่างได้ผล ผมเองหลังจากได้อ่านข้อมูลและเรื่องราวของแคมเปญนี้แล้ว จะเพิ่มความระมัดระวังมากขึ้นเวลาติดตั้งซอฟต์แวร์ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับแอปพลิเคชันยอดนิยมอย่าง Telegram ซึ่งเป็นช่องทางที่แฮกเกอร์ใช้โจมตีผู้ใช้อย่างแพร่หลาย

Watch out for fake Telegram web.

Related posts