Notícias

Falsos instaladores do Telegram espalham malware Purple Fox

Claylson Martins
Falsos instaladores do Telegram espalham malware Purple Fox

Instaladores falsos do Telegram estão espalhando um malware chamado Purple Fox entre usuários desavisados, atingindo em cheio os dispositivos. O instalador é um script AutoIt compilado que ganhou o codinome de “Telegram Desktop.exe”. No entanto, não se deixe enganar. Dentro deste arquivo aparentemente inofensivo estão dentro dele estão dois arquivos: um deles é o instalador verdadeiro do Telegram. Porém, o outro é um downloader malicioso. Por sua vez, este se aproveita quando o instalador legítimo do Telegram não está em execução. Assim, o programa AutoIT executa o downloader (TextInputh.exe).

Tabela de conteúdo
Uma análise da Minerva Labs explica a ação do TextInputh.exe na máquina comprometida:Falsos instaladores do Telegram espalham malware Purple Fox

Ao ser executado o arquivo TextInputh.exe cria uma nova pasta (“1640618495”) em “C: \Usuários\Público\Vídeos\”. Então, a partir daí, ele se conectará ao C2 para baixar um utilitário 7z e um arquivo RAR (1.rar). Este possui os arquivos de configuração do malware. Já o 7z descompacta todo o conteúdo na pasta ProgramData.

Falsos instaladores do Telegram espalham malware Purple Fox.

Uma análise da Minerva Labs explica a ação do TextInputh.exe na máquina comprometida:

  • Copia 360.tct com o nome “360.dll”, rundll3222.exe e svchost.txt para a pasta ProgramData
  • Executa ojbk.exe com a linha de comando “ojbk.exe -a”
  • Exclui 1.rar e 7zz.exe e sai do processo
Falsos instaladores do Telegram espalham malware Purple Fox

Em seguida, cria-se uma chave de registro. Depois disso, uma DLL (rundll3222.dll) desativa o UAC. Então, a carga (scvhost.txt) é executada e os cinco arquivos adicionais a seguir são colocados no sistema infectado:

  1. Calldriver.exe
  2. Driver.sys
  3. dll.dll
  4. kill.bat
  5. speedmem2.hg 

Falsos instaladores do Telegram espalham malware Purple Fox

O objetivo desses arquivos extras é bloquear o início dos processos do 360 AV. Assim, eles evitam a detecção do Purple Fox na máquina comprometida.

A próxima etapa do malware é coletar informações básicas do sistema, verificar se alguma ferramenta de segurança está sendo executada e, finalmente, enviar tudo isso para um endereço C2 codificado. Assim que o processo de reconhecimento for concluído, o Purple Fox é baixado do C2 na forma de um arquivo .msi que contém o shellcode criptografado para sistemas de 32 e 64 bits.

Após a execução do Purple Fox, a máquina infectada será reiniciada para que as novas configurações de registro tenham efeito. O detalhe mais importante é que o Controle de Conta de Usuário (UAC) será totalmente desabilitado.

Para fazer isso, o arquivo dll.dll define as três seguintes chaves do Registro como 0:

  1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ConsentPromptBehaviorAdmin
  2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
Dll desabilitando UAC no sistema de destino
Fonte: Minerva Labs

O malware precisa desativar o UAC de bypass. É isso o que dá privilégios de administrador a qualquer programa executado no sistema infectado, incluindo vírus e malware. Ele deve permanecer ativo o tempo todo dentro do Windows pois impede a instalação não autorizada de aplicativos ou a alteração das configurações do sistema.

Ainda não se sabe quem são os responsáveis pelo malware. O mesmo vem sendo feito pelo Youtube, spam de fóruns e sites suspeitos que oferecem programas para baixar.

Via BleepingComputer

TAGGED:
Share This Article
Por Claylson Martins
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.
Sair da versão mobile