Dentro de las herramientas de mensajería instantánea, Telegram constituye una de las más populares gracias a la variedad de opciones que nos ofrece y lo robusta que resulta esta plataforma en términos de seguridad.
Así también Telegram no solo te ofrece la oportunidad de sacar provecho de sus opciones desde el teléfono inteligente, sino también en la PC, ya que cuenta con una versión oficial diseñada para esta plataforma.
Sin embargo, se ha dado a conocer la presencia de versiones para PC falsas de esta herramienta de mensajería que podrían poner en riesgo la seguridad de estos equipos.
Todo comenzó en marzo de 2021 con la detección de un malware conocido como Purple Fox, el cual actuaba escaneando e infectando el sistema operativo Windows a través de internet a fin de hacerlo vulnerable y proceder luego a atacarlo.
Cabe mencionar que antes de eso, en 2018, este mismo malware había sido detectado llevando a cabo la infección de equipos a través de correos electrónicos de phishing y kits de explotación.
Ahora parece que el malware ha cambiado la estrategia y está infiltrándose en los ordenadores a través de instaladores falsos de Telegram para PC provenientes de páginas no oficiales.
En ese sentido, el instalador representa un script compilado de autoIT denominado «Telegram Desktop.exe» que al ser transferido a la PC genera dos iconos: uno real del instalador de Telegram acompañado de otro malicioso.
Si bien el único modo de ejecutar el instalador de Telegram es pulsando sobre este, en el caso del programa de autoIT este no requiere ser pulsado para ejecutarse, ya que lo hace de forma automática.
Una vez que ocurre esto, el programa procede a crear una nueva carpeta llamada TextInputh en la dirección C:\Users\Username\AppData\Local\Temp
En este directorio se almacena el icono del instalador legítimo de Telegram que ni siquiera llegara a ejecutarse, junto al descargador malicioso.
Una vez creado TextInputh.exe dentro de la carpeta este pone en marcha su acción destructiva copiando primero el archivo 360.tct con nombre «360.dll», seguido de rundll3222.exe y svchost.txt en la carpeta ProgramData.
Después, inicia la ejecución del archivo ojbk.exe, pasando luego a eliminar 1.rar y 7zz.exe, marcando con ello el final del proceso.
Posterior a esto una clave de registro para la persistencia es generada, mientras que dll inicia la deshabilitación del Control de Cuentas de Usuario, dando paso luego a la ejecución del payload (scvhost.txt) que ocasiona la instalación no autorizada de cinco archivos más en el equipo.
Al final, el propósito de estos archivos es hacer que a las herramientas de seguridad instaladas en tu equipo les resulte difícil detectar el malware Purple Fox.