Un instalador malicioso de Telegram for Desktop distribuye el malware Purple Fox para instalar más cargas útiles maliciosas en los dispositivos infectados.
El instalador es un script de AutoIt compilado llamado “Telegram Desktop.exe” que suelta dos archivos, un instalador de Telegram real y un descargador malicioso.
Si bien el instalador legítimo de Telegram junto con el descargador no se ejecuta, el programa AutoIT ejecuta el descargador (TextInputh.exe).
Archivos caídos en la máquina infectada
Fuente: Minerva Labs
Cuando se ejecuta TextInputh.exe, creará una nueva carpeta (“1640618495”) en “C: \ Users \ Public \ Videos \” y se conectará al C2 para descargar una utilidad 7z y un archivo RAR (1.rar).
Como se detalla en un análisis de Minerva Labs , TextInputh.exe realiza las siguientes acciones en la máquina comprometida:
- Copia 360.tct con el nombre “360.dll”, rundll3222.exe y svchost.txt en la carpeta ProgramData
- Ejecuta ojbk.exe con la línea de comando “ojbk.exe -a”
- Elimina 1.rar y 7zz.exe y sale del proceso
Flujo de infección de Purple Fox
Fuente: Minerva Labs
A continuación, se crea una clave de registro para la persistencia, una DLL (rundll3222.dll) deshabilita UAC, se ejecuta la carga útil (scvhost.txt) y los siguientes cinco archivos adicionales se colocan en el sistema infectado:
- Calldriver.exe
- Driver.sys
- dll.dll
- matar murciélago
- speedmem2.hg
El propósito de estos archivos adicionales es bloquear colectivamente el inicio de procesos 360 AV y evitar la detección de Purple Fox en la máquina comprometida.
El siguiente paso para el malware es recopilar información básica del sistema, verificar si se está ejecutando alguna herramienta de seguridad y, finalmente, enviar todo eso a una dirección C2 codificada.
Una vez que se completa este proceso de reconocimiento, Purple Fox se descarga del C2 en forma de un archivo .msi que contiene shellcode cifrado para sistemas de 32 y 64 bits.
Tras la ejecución de Purple Fox, la máquina infectada se reiniciará para que surta efecto la nueva configuración del registro, y lo más importante, el Control de cuentas de usuario (UAC) deshabilitado.
Para lograr esto, el archivo dll.dll establece las siguientes tres claves de registro en 0:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ConsentPromptBehaviorAdmin
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ EnableLUA
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ PromptOnSecureDesktop
Dll deshabilitando UAC en el sistema de destino
Fuente: Minerva Labs
Deshabilitar la omisión de UAC es vital porque otorga privilegios de administrador a cualquier programa que se ejecute en el sistema infectado, incluidos virus y malware .
En general, UAC evita la instalación no autorizada de aplicaciones o el cambio de la configuración del sistema, por lo que debe permanecer activo en Windows en todo momento.
Deshabilitarlo permite a Purple Fox realizar funciones maliciosas como búsqueda y exfiltración de archivos, eliminación de procesos, eliminación de datos, descarga y ejecución de código e incluso desparasitación en otros sistemas Windows .
En este momento, se desconoce cómo se distribuye el malware, pero campañas de malware similares que se hacen pasar por software legítimo se distribuyeron a través de videos de YouTube, foros de spam y sitios de software sospechosos.
Fuente:
https://www.bleepingcomputer.com/news/security/purple-fox-malware-distributed-via-malicious-telegram-installers/
