Investigadores de seguridad han desvelado que se están utilizando instaladores falsos de la popular aplicación de mensajería Telegram, para distribuir malware e infectar equipos basados en Windows.
En una nueva investigación publicada por Minerva Labs, se han detectado instaladores que incluyen la puerta trasera Purple Fox en víctimas con equipos basados en Windows.
Purple Fox fue descubierto en el año 2018 tras infectar más de 30.000 dispositivos. En sus orígenes se distribuía a través de campañas de spam por correo electrónico. Purple Fox incluye características de rootkit y puerta trasera y con frecuencia se utiliza como instalador de otro tipo de malware.
En 2021 se le detectaron además capacidades propias de gusanos, lo que hace que su propagación sea mucho más vertiginosa y efectiva.
Las capacidades de rootkit de Purple Fox lo hacen más capaz de llevar a cabo sus objetivos de una manera más sigilosa. Permiten que Purple Fox persista en los sistemas afectados, así como entregar más cargas útiles a los sistemas afectados.
Extracto de los investigadores de seguridad.
La evolución de Purple Fox no se detiene y en Diciembre de 2021 Trend Micro informó que este malware apuntaba a las bases de datos SQL, insertando un módulo SQL Common Language Runtime (CLR) malicioso, para lograr una ejecución persistente y sigilosa en el sistema de la víctima. Tras la infección, instala malware de minado de criptomonedas.
En esta ocasión, Minerla Labs ha informado que el archivo de instalación de Telegram incluye un instalador malicioso denominado TextInputh.exe, que al ejecutarse recupera malware del servidor C2. Los archivos descargados del servidor C2 bloquean los procesos de los antivirus e instalan Purple Fox en el sistema afectado.
Encontramos una gran cantidad de instaladores maliciosos entregando la misma versión de rootkit de Purple Fox usando la misma cadena de ataque. Parece que algunos se enviaron por correo electrónico, mientras que otros asumimos que se descargaron de sitios web de phishing. La belleza de este ataque es que cada etapa se separa en un archivo diferente que son inútiles sin el conjunto de archivos completo.
Extracto del informe de Minerva Labs
Utilizar como vector de entrada la descarga de una aplicación o un archivo de vídeo es un método muy utilizado por los atacantes para infectar dispositivos. Sobre todo en descargas piratas o de portales poco confiables. No hace mucho hemos comprobado como descargas ilícitas de la última película de Spiderman incluían malware. Con el fin de evitar este tipo de ataques, se recomienda instalar aplicaciones únicamente de fuentes conocidas y no interactuar con instaladores y software que proceda de correos electrónicos y webs de descargas no lícitas.
