Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Instaladores falsos de Telegram Desktop contienen malware Purple Fox


Purple Fox está accediendo a los ordenadores a través de instaladores falsos de Telegram for Desktop, sacados de páginas que no son oficiales, simulando ser la versión de esta aplicación de mensajería destinada a los PC. Según lo que se sabe, hay un instalador malicioso de Telegram for Desktop que distribuye este malware Purple Fox para instalar más programas maliciosos en los dispositivos infectados.




 En marzo de 2021 se descubría un malware de nombre Purple Fox que tenía la capacidad de escanear e infectar sistemas Windows accesibles a través de Internet para luego realizar ataques. No era un malware nuevo, desde 2018 se conocía porque conseguía infectar equipos gracias a correos electrónicos de phishing y kits de explotación.


Cómo puedes saber si tu PC está infectado

De acuerdo con Minerva Labs, el instalador es un script compilado de AutoIt llamado "Telegram Desktop.exe" (puedes ver el icono en la siguiente imagen) que deja dos iconos, un instalador real de Telegram y otro malicioso.



De este modo, mientras que el instalador legítimo de Telegram que aparece junto al descargador no se ejecuta, el programa AutoIT sí lo hace (TextInputh.exe). Este script de AutoIt es la primera parte del ataque. Crea una nueva carpeta llamada "TextInputh" en C:\Users\Username\AppData\Local\Temp. Ahí se guarda el icono del instalador legítimo de Telegram, que ni siquiera se ejecuta, y también un descargador malicioso (TextInputh.exe). Puedes verlo en esta imagen y puedes mirar tu disco C para comprobar que este archivo no está. 




Cuando TextInputh.exe se ejecuta, genera una nueva carpeta ("1640618495") en "C:C:\Users\Public\Videos\" y se conectará al C2 para descargar una utilidad 7z y un archivo RAR (1.rar). El archivo contiene la carga útil y los archivos de configuración,** mientras que el programa 7z lo desempaqueta todo en la carpeta ProgramData**.


Cuando consigue infectar un PC, TextInputh.exe realiza las siguientes acciones: primero copia 360.tct con nombre "360.dll", rundll3222.exe y svchost.txt a la carpeta ProgramData. Tras esto, ejecuta ojbk.exe con la línea de comandos "ojbk.exe -a", elimina 1.rar y 7zz.exe y sale del proceso. De acuerdo con los detalles de Minerva Labs, a continuación, se crea una clave de registro para la persistencia, DLL deshabilita el Control de Cuentas de Usuario y se ejecuta el payload (scvhost.txt). Tras esto, se instalan cinco archivos en el equipo. 

El propósito de estos archivos es el de evitar que las herramientas de seguridad que tengas en tu equipo puedan detectar Purple Fox. El siguiente paso del malware es recopilar información básica del sistema, comprobar si se está ejecutando alguna herramienta de seguridad y, finalmente, enviar todo eso a una dirección C2 codificada. Tras esto, Purple Fox se descarga desde el C2 en forma de archivo .msi con shellcode cifrado para sistemas de 32 y 64 bits.


Fuentes:

https://www.genbeta.com/actualidad/instaladores-falsos-telegram-desktop-pueden-infectar-nuestro-pc-malware-purple-fox-que-antes-se-escondia-windows


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.