Cosa sapere su Purple Fox, il malware che si finge Telegram Desktop

I malware su Telegram sono una minaccia ben nota a chi frequenta da tempo la piattaforma, ma avete mai sentito parlare di un malware che finge di essere Telegram? Si tratta di una classica forma di mascheramento, utilizzata dal malware Purple Fox per introdursi sui computer di quanti scaricano il file d’installazione di Telegram Desktop da una fonte che non è quella ufficiale, ossia il sito di Telegram.

I ricercatori di Minerva Labs hanno dettagliatamente spiegato le modalità di infiltrazione e la natura di questo malware: siete pronti per scoprirlo?

Che cos'è Purple Fox

Il malware Purple Fox è un virus già noto ai laboratori di ricerca: già apparso nel 2018, il malware si era rivelato particolarmente attivo tra i mesi di ottobre e dicembre 2021, all’interno dei sistemi Windows, sfruttando una backdoor basata su .NET chiamata “FoxSocket”, che sfruttava appunto i WebSocket. Nel maggio 2021 ne era stata addirittura scoperta una variante “wormhole”.

Come Purple Fox attacca gli smartphone degli utenti

Le modalità di attacco del malware sono assolutamente “interessanti”, come sostiene Minerva Labs. Secondo i ricercatori, il malware viene distribuito attraverso varie strade digitali: non solo tramite siti di phishing che probabilmente simulano il sito ufficiale di Telegram o altre fonti che un utente medio potrebbe considerare “sicure”, ma anche attraverso email e social network.

La formula di attacco di Purple Fox

Una volta che l’utente scarica quello che ritiene sia Telegram Desktop, questo distribuisce sul computer due differenti file d’installazione: l’esecutibile di Telegram Desktop, che tuttavia non viene nemmeno lanciato, e un secondo file, chiamato TextInputh.exe, all’interno del percorso C:\Users\Username\AppData\Local\Temp\. Una volta che questo file viene installato, si trasforma in un percorso di download che contatta un server di Comando&Controllo, il quale provvede a scaricare sul PC altri due file.

Questi due file producono un sistema di mascheramento che permettono ai file maligni di nascondersi alle analisi dei principali servizi antivirus in commercio. Secondo Minerva Labs, il virus può impedire l’identificazione dell’attacco in corso da parte di oltre 360 servizi antivirus, tra cui Avira, ESET, Avast, McAfee e Kaspersky.

Abbiamo spesso osservato che i malware utilizzano software legittimi per contrabbandare file dannosi. Questa volta però è diverso. Questa minaccia è in grado di far passare la maggior parte dell’attacco al di sotto del raggio d’azione dei radar, tramite lo spezzettamento dell’attacco in tanti piccoli file, la maggior parte dei quali possiede tassi di rilevamento molto bassi da parte degli antivirus, la cui fase finale termina con l’infezione da parte del rootkit Purple Fox.

A questo punto il malware produce una catena di download e installazioni fino all’installazione finale del rootkit Purple Fox, da cui poi prende il nome; benché il server di Comando&Controllo dal quale il rootkit verrebbe scaricato sembra essere offline, secondo i ricercatori la minaccia è comunque concreta. Purple Fox è infatti in grado di prendere il controllo della macchina sulla quale viene installato, rendendola pericolosa e definitivamente inutilizzabile per l’utente.

Come difendersi da Purple Fox

La particolarità di questo sistema di attacco è dovuto alla sua dispersione in tanti piccoli file che lo rendono, in definitiva, poco rintracciabile dagli antivirus.

Il nostro suggerimento, in questo caso, per evitare il contagio da parte del malware, è di scaricare il file d’installazione a Telegram Desktop e i suoi aggiornamenti unicamente dal sito ufficiale di Telegram; siti di phishing, market di distribuzione del file di terze parti sono infatti notoriamente posti dai quali è consigliabile non scaricare alcun file, figurarsi quelli eseguibili e che possono causare danni irreparabili al vostro computer.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a myjob@appelmo.com, e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Instagram e sul nostro canale Telegram! Grazie mille!

Telegram malware
Commenti (0)
Aggiungi commento