Camuflar malware dentro de archivos legítimos es una práctica muy común para los hackers desde hace muchos años. No obstante, la llegada de nuevos mecanismos le hizo perder popularidad y ya no recibimos tantas noticias de este tipo. Al menos hasta ahora, cuando se ha detectado que el malware Purple Fox se está distribuyendo en instaladores falsos de Telegram.

Purple Fox se instala en los computadores, incorpora más programas maliciosos y recoge información del sistema para enviarlo al atacante.

Cuidado con los instaladores falsos de Telegram y Purple Fox

Purple Fox es un malware conocido desde el año 2018 por distribuirse a través de correos electrónicos de pishing. En marzo del año anterior también dio de que hablar al detectarse su presencia infectando computadores accesibles desde internet. Su misión es instalarse, llevar más programas maliciosos al equipo, escanear y recoger la información del equipo de la víctima para luego ser enviado al atacante.

Pero el malware y los ataques informáticos en general tienen la capacidad de reinventarse o encontrar otras vías de ataque. Esto es precisamente lo que ha pasado con Purple Fox que ahora viene incorporado en instaladores falsos de Telegram. Cuando queremos instalar esta aplicación, debemos ir directamente al sitio oficial. Si no lo hacemos, corremos el riesgo de obtener un instalador infectado en cualquier otra página.

Al ejecutar el instalador falso de Telegram, se desempaquetan dos archivos, un instalador legítimo y un script de Autolt. Este último archivo se ejecuta en segundo plano y comienza con la descarga de los otros archivos maliciosos. El malware trae 5 archivos que convierte en DLL y se insertan en Program Data. Además, modifica el registro con el propósito de evitar ser detectado por las soluciones de seguridad del equipo.

Para saber si estás infectado con Purple Fox, solo debes seguir esta ruta en el explorador de Windows C:\Users\Username\AppData\Local\Temp. Si estás infectado, verás no solo el instalador de Telegram sino también el archivo del script Autolt.

Escribir un comentario