| تحذير عاجل من برنامج خبيث يهدد مستخدمي «تليجرام»: اسمه الثعلب البنفسجي

​

يحذر باحثون في الأمن السيبراني من جذور خفية لبرنامج خبيث اسمه «الثعلب البنفسجي» مختبئ في برامج تثبيت تليجرام بطرق غير شرعية على الإنترنت.

وقال فريق الأمن السيبراني «Minerva Labs»، هذا الأسبوع، إن «الثعلب البنفسجي» مخفي داخل ملف يسمى “Telegram Desktop.exe”، يصيب الذين يعتقدون أنهم يثبتون خدمة تليجرام بثغرات خبيثة من الصعب اكتشافها، بحسب موقع «زد نت» التقني.

طريقة انتشار «الثعلب البنفسجي»

اكتشف الباحثون، أن «الثعلب البنفسجي»، جرى نشره لأول مرة في عام 2018، من خلال مجموعة متنوعة من الوسائل، بما في ذلك رسائل البريد الإلكتروني المخادعة والروابط الضارة والهاكرز، ومع ذلك، في السنوات القليلة الماضية، توسعت طرق انتشاره لتشمل المساومة على خدمات الإنترنت المعرضة للخطر، وخدمات SMB المكشوفة، والمثبتات المزيفة.

ينتشر البرنامج الخبيث في الجهاز من خلال مُثبِّت تيلجرام مزيف، مع أداة تنزيل ضارة تسمى «TextInputh.exe»، ويتم بعد ذلك تقسيم الهجوم إلى عدة ملفات صغيرة، وهي تقنية تسمح للهاكرز الذي يطلق الهجوم قادرا على التحكم الكامل في الجهاز.

تنشئ «TextInputh.exe» مجلدًا جديدًا يتصل بخادم الأوامر والتحكم (C2) الخاص بالبرامج الضارة، ثم يتم تنزيل ملفين جديدين وتنفيذهما، مما يؤدي إلى فك ضغط أرشيفات بصيغة «RAR» وملف يستخدم لتحميل ملف ضار بشكل عكسي.

المميز في «الثعلب البنفسجي»

بعد فترة من اكتشاف البرنامج الخبيث، وجد الخبراء باب خلفي شبكي جديد، يُطلق عليه اسم «FoxSocket»، يُعتقد أنه إضافة جديدة إلى القدرات الحالية لهذا البرنامج الخبيث، ولذلك من المحتمل أن يراقب باحثو الأمن السيبراني عن كثب التطوير المستقبلي لهذه البرامج الضارة.

وأشار الفريق البحثي الذي يحذر من البرنامج الخبيث إلى أن ما يميز هجوم هذا البرنامج هو أن كل مرحلة يتم فصلها إلى ملف مختلف لا فائدة منه بدون مجموعة الملفات بالكامل، ويساعد هذا المهاجم على حماية ملفاته من الاكتشاف.