Los instaladores falsos de Telegram Desktop pueden infectar nuestra PC con el malware Purple Fox (anteriormente oculto en Windows)
En marzo de 2021 malware descubierto llamado Purple Fox que tenía la capacidad de escanear e infectar sistemas Windows accesibles a través de Internet y luego realizar ataques. No era un nuevo malware desde 2018 se conoció porque logró infectar computadoras gracias a correos electrónicos de phishing y kits de explotación.
Ahora, Purple Fox está accediendo a computadoras a través de instaladores falsos de Telegram para escritorio, extraído de páginas que no son oficiales, pretendiendo ser la versión de esta aplicación de mensajería pensada para PC. Según Lo que se sabe, hay un instalador malicioso de Telegram para escritorio que distribuye este malware Purple Fox para instalar más programas maliciosos en los dispositivos infectados.
Ransomware: que es, como infecta y como protegerse
¿Cómo puede saber si su PC está infectada?
De acuerdo con Laboratorios Minerva, el instalador es un script AutoIt compilado llamado «Telegram Desktop.exe» (puedes ver el ícono en la siguiente imagen) que deja dos íconos, un instalador de Telegram real y uno malicioso.
Por lo tanto, mientras que el instalador legítimo de Telegram que aparece junto al descargador no se ejecuta, el programa AutoIT sí (TextInputh.exe). Este script de AutoIt es la primera parte del ataque. Cree una nueva carpeta llamada «TextInputh» en C: Users Username AppData Local Temp. Ahí El ícono legítimo del instalador de Telegram se guarda, ni siquiera se ejecutay también un descargador malicioso (TextInputh.exe). Puede verlo en esta imagen y puede mirar su disco C para verificar que falta este archivo.
Cuando se ejecuta TextInputh.exe, genera una nueva carpeta («1640618495») en «C: C: Users Public Videos » y se conectará a C2 para descargar una utilidad 7z y un archivo RAR (1.rar). El archivo contiene la carga útil y los archivos de configuración, ** mientras que el programa 7z los descomprime todos en la carpeta ProgramData **.
¿Qué puede hacer este malware en una PC infectada?
Cuando logra infectar una PC, TextInputh.exe realiza las siguientes acciones: primero copia 360.tct con el nombre «360.dll», rundll3222.exe y svchost.txt a la carpeta ProgramData. Después de eso, ejecute ojbk.exe con la línea de comando «ojbk.exe -a», elimine 1.rar y 7zz.exe y salga del proceso. Según los detalles de Minerva Labs, a continuación, se crea una clave de registro para la persistencia, DLL deshabilita el Control de cuentas de usuario y se ejecuta la carga útil (scvhost.txt). Después de esto, se instalan cinco archivos en la computadora.
El propósito de estos archivos es para evitar que las herramientas de seguridad que tiene en su computadora detecten Purple Fox. El siguiente paso del malware es recopilar información básica del sistema, verificar si se está ejecutando alguna herramienta de seguridad y, finalmente, enviar todo eso a una dirección C2 cifrada. Después de esto, Purple Fox se descarga de C2 como un archivo .msi con shellcode cifrado para sistemas de 32 y 64 bits.