- Mucha gente está usando Telegram hoy en día, como un medio más seguro para comunicarse.
- Pero toda esta privacidad puede tener un costo si no prestamos atención a las señales.
- Se ha visto que un instalador de Telegram para escritorio difunde más que solo privacidad.
- Incrustado en el instalador de Telegram se encuentra el temido rootkit de malware Purple Fox.
Todo el mundo sabe ahora que Telegram se encuentra entre algunas de las opciones de software más seguras para comunicarse con otros si realmente valora su privacidad.
Sin embargo, como pronto descubrirá, incluso las opciones más seguras que existen pueden convertirse en peligros para la seguridad si no tenemos cuidado.
Recientemente, un instalador malicioso de Telegram para escritorio comenzó a distribuir el malware Purple Fox para instalar más cargas útiles peligrosas en los dispositivos infectados.
Este instalador es un script de AutoIt compilado llamado Telegram Desktop.exe que suelta dos archivos, un instalador de Telegram real y un descargador malicioso (TextInputh.exe).
"Telegram Desktop.exe": 41769d751fa735f253e96a02d0cccadfec8c7298666a4caa5c9f90aaa826ecd1
🤔- MalwareHunterTeam (@malwrhunterteam) 25 de diciembre de 2021
Los instaladores de Telegram instalarán algo más que la propia aplicación
Todo comienza como cualquier otra acción banal que realizamos en nuestras PC, sin saber realmente qué sucede a puerta cerrada.
Según expertos en seguridad de Minerva Lab, cuando se ejecuta, TextInputh.exe crea una nueva carpeta llamada 1640618495 bajo:
C: \ Usuarios \ Público \ Videos \
En realidad, esto TextInputh.exe El archivo se utiliza como descargador para la siguiente etapa del ataque, ya que contacta con un servidor C&C y descarga dos archivos en la carpeta recién creada.
Para obtener una visión más detallada del proceso de infección, esto es lo que TextInputh.exe realiza en la máquina comprometida:
- Copia 360.tct con el nombre 360.dll, rundll3222.exe y svchost.txt en la carpeta ProgramData
- Ejecuta ojbk.exe con la línea de comando "ojbk.exe -a"
- Elimina 1.rar y 7zz.exe y sale del proceso
El siguiente paso para el malware es recopilar información básica del sistema, verificar si se está ejecutando alguna herramienta de seguridad y, finalmente, enviar todo eso a una dirección C2 codificada.
Una vez que se completa este proceso, Purple Fox se descarga del C2 en forma de .msi archivo que contiene shellcode cifrado para sistemas de 32 y 64 bits.
El dispositivo infectado se reiniciará para que surta efecto la nueva configuración del registro, y lo más importante, el Control de cuentas de usuario (UAC) deshabilitado.
Por el momento, se desconoce cómo se distribuye el software malicioso, pero hay campañas de software malicioso similares Se distribuyó software legítimo que se hacía pasar por videos de YouTube, spam en foros y software sospechoso. sitios.
Si desea comprender mejor todo el proceso, le recomendamos que lea el diagnóstico completo de Minerva Labs.
¿Sospecha haber descargado un instalador infectado con malware? Comparta sus pensamientos con nosotros en la sección de comentarios a continuación.
