En marzo de 2021 se descubría un malware de nombre Purple Fox que tenía la capacidad de escanear e infectar sistemas Windows accesibles a través de Internet para luego realizar ataques. No era un malware nuevo, desde 2018 se conocía porque conseguía infectar equipos gracias a correos electrónicos de phishing y kits de explotación.
Ahora, Purple Fox está accediendo a los ordenadores a través de instaladores falsos de Telegram for Desktop, sacados de páginas que no son oficiales, simulando ser la versión de esta aplicación de mensajería destinada a los PC. Según lo que se sabe, hay un instalador malicioso de Telegram for Desktop que distribuye este malware Purple Fox para instalar más programas maliciosos en los dispositivos infectados.
Cómo puedes saber si tu PC está infectado
De acuerdo con Minerva Labs, el instalador es un script compilado de AutoIt llamado "Telegram Desktop.exe" (puedes ver el icono en la siguiente imagen) que deja dos iconos, un instalador real de Telegram y otro malicioso.
De este modo, mientras que el instalador legítimo de Telegram que aparece junto al descargador no se ejecuta, el programa AutoIT sí lo hace (TextInputh.exe). Este script de AutoIt es la primera parte del ataque. Crea una nueva carpeta llamada "TextInputh" en C:\Users\Username\AppData\Local\Temp. Ahí se guarda el icono del instalador legítimo de Telegram, que ni siquiera se ejecuta, y también un descargador malicioso (TextInputh.exe). Puedes verlo en esta imagen y puedes mirar tu disco C para comprobar que este archivo no está.
Cuando TextInputh.exe se ejecuta, genera una nueva carpeta ("1640618495") en "C:C:\Users\Public\Videos\" y se conectará al C2 para descargar una utilidad 7z y un archivo RAR (1.rar). El archivo contiene la carga útil y los archivos de configuración,** mientras que el programa 7z lo desempaqueta todo en la carpeta ProgramData**.
Qué puede hacer este malware en un PC infectado
Cuando consigue infectar un PC, TextInputh.exe realiza las siguientes acciones: primero copia 360.tct con nombre "360.dll", rundll3222.exe y svchost.txt a la carpeta ProgramData. Tras esto, ejecuta ojbk.exe con la línea de comandos "ojbk.exe -a", elimina 1.rar y 7zz.exe y sale del proceso. De acuerdo con los detalles de Minerva Labs, a continuación, se crea una clave de registro para la persistencia, DLL deshabilita el Control de Cuentas de Usuario y se ejecuta el payload (scvhost.txt). Tras esto, se instalan cinco archivos en el equipo.
El propósito de estos archivos es el de evitar que las herramientas de seguridad que tengas en tu equipo puedan detectar Purple Fox. El siguiente paso del malware es recopilar información básica del sistema, comprobar si se está ejecutando alguna herramienta de seguridad y, finalmente, enviar todo eso a una dirección C2 codificada. Tras esto, Purple Fox se descarga desde el C2 en forma de archivo .msi con shellcode cifrado para sistemas de 32 y 64 bits.
Ver 5 comentarios