Purple Fox – Attenzione al malware che finge di essere Telegram

By | Gennaio 13, 2022
Purple Fox

Immagino la conosciate tutti telegram, perciò salterò l’introduzione di quest’app tanto famosa per aspetti anche discutibili. Chi frequenta la piattaforma sa benissimo di doverla saper utilizzare non per via delle funzionalità, ma a causa di malware che possono insidiarsi dove nessuno se lo aspetta.

In quest’articolo parleremo però di un malware molto particolare, poiché esso in realtà finge di essere telegram. Si tratta cioè di una forma di mascheramento, dove l’icona di telegram in realtà è fasulla e contiene file dannosi. Per sapere come scoprire l’inganno, leggete le prossime righe. Vi serviranno molto nel caso usaste la piattaforma poc’anzi citata.

Purple fox e la sua modalità d’infiltrazione

Questo malware molto peculiare era già noto agli studiosi, difatti era apparso nel 2018 e si era rivelato molto attivo tra i mesi di ottobre e dicembre 2021. All’interno dei sistemi Windows, sfruttava una backdoor basata su .NET chiamata “FoxSocket”, che sfruttava appunto i WebSocket.

Ecco perché dovete ricordare di possedere degli anti virus notevoli. È vero, lo so, molti di loro costano molto, tuttavia ci sono anche software validi gratis, qui ci sono antivirus gratuiti per Windows ad esempio.

Tornando a Purple Fox, secondo i ricercatori di Minerva Labs, il malware è distribuito in vari percorsi digitali: tramite i siti di phishing naturalmente, i quali simulano il sito ufficiale di telegram ma anche altri metodi. Altre vie avvengono attraverso email e social network.

Nella pratica, quando l’utente scarica quello che pensa sia Telegram Desktop, questo immette sul computer due diversi file d’installazione: Telegram Desktop, che tuttavia non viene nemmeno lanciato, e un secondo file, chiamato TextInputh.exe, all’interno del percorso C:\Users\Username\AppData\Local\Temp\.

Una volta che questo file è installato, si trasforma in un percorso di download che contatta un server di Comando&Controllo, il quale provvede a scaricare sul PC altri due file. Per approfondire l’argomento cliccate qui, perché senza il loro articolo il nostro scritto sarebbe stato incompleto.

Questi ultimi producono un sistema di mascheramento che permettono ai file dannosi di nascondersi alle analisi dei principali servizi antivirus in commercio. Secondo Minerva Labs, il virus può impedire l’identificazione dell’attacco in corso da parte di oltre 360 servizi antivirus, tra cui Avira, ESET, Avast, McAfee e Kaspersky.

Questo significa che i migliori anti virus in circolazioni possono essere ingannati abbastanza facilmente da questo malware. Ecco perché, attenzione a usare telegram.

Queste le parole dei ricercatori:

Abbiamo spesso osservato che i malware utilizzano software legittimi per contrabbandare file dannosi. Questa volta però è diverso. Questa minaccia è in grado di far passare la maggior parte dell’attacco al di sotto del raggio d’azione dei radar, tramite lo spezzettamento dell’attacco in tanti piccoli file, la maggior parte dei quali possiede tassi di rilevamento molto bassi da parte degli antivirus, la cui fase finale termina con l’infezione da parte del rootkit Purple Fox.

Come difendersi da Purple Fox?

La peculiarità di questo sistema di attacco è dovuto alla sua dispersione in tanti piccoli file che lo rendono, in definitiva, poco rintracciabile dagli antivirus.

Detto ciò, il malware produce una serie di download e installazioni fino al download finale del rootkit Purple Fox, da cui poi prende il nome. Nonostante il server di Comando&Controllo dal quale il rootkit verrebbe scaricato sembra essere offline, secondo i ricercatori di Minerva Labs, la minaccia è comunque concreta e pericolosa.

Questo Malware, Purple Fox, è infatti capace di ottenere il controllo del dispositivo nel quale è installato, rendendo pericoloso e definitivamente inutilizzabile per l’utente. Capirete, che non stiamo parlando di un app difettosa ma di un problema serio che potrebbe compromettere l’intero dispositivo.

Il nostro suggerimento, in questo caso, per evitare d’incontrare il malware protagonista di quest’articolo, è di scaricare il file d’installazione su Telegram Desktop e i suoi aggiornamenti unicamente dal sito ufficiale di Telegram.

I siti di phishing, market di distribuzione del file di terze parti sono infatti notoriamente posti dai quali è consigliabile non scaricare alcun file, figurarsi quelli eseguibili e che possono causare danni irreparabili al vostro computer.

Come al solito ricordatevi che usare il web e tutto ciò che è all’interno significa esporsi a una serie interminabile lunghissimi rischi. Ecco perché dovete avere necessariamente un buon anti virus, possibilmente aggiornato e nuovo. Altrimenti rischiate di spendere ulteriori soldi per degli stupidi malware. Grazie per la lettura.

Author: Presi Fulvio

Mi piacciono gli smartphone, computer e videogiochi. Come hobby scrivo per GuideSmartPhone articoli basati principalmente sulla tecnologia. Spero di esservi stato d'aiuto!