Il malware Purple Fox è stato individuato per la prima volta nel 2018, per poi ripresentarsi a maggio del 2021 in una diversa variante. Con l’avvenuto del nuovo anno, però, questa “vecchia conoscenza” è tornata, questa volta prendendo di mira Telegram, o per meglio dire il relativo file d’installazione.
Telegram Desktop: alcuni installer contengono il malware Purple Fox
MINERVA Research Labs, società specializzata in sicurezza informatica, ha infatti condotto delle ricerche da cui è emerso che vengono diffusi con sempre maggiore frequenza degli installer fake di Telegram per Windows adoperati per distribuire il codice maligno di Purple Fox per permettere l’accesso da remoto o il caricamento di virus nel sistema.
Purple Fox si unisce infatti all’installer “legittimo” di Telegram Desktop. Più precisamente, insieme al file per effettuare l’installazione “pulita” di Telegram viene scaricato un altro downloader, denominato “TextInputh.exe”, che viene eseguito in background insieme all’installazione del programma di messaggistica per scaricare ed eseguire Purple Fox.
Riportiamo di seguito in forma tradotta quanto dichiarato al riguardo da Natalie Zargarov, ricercatrice di Minerva Labs.
Chi ha creato questo attacco è stato capace di lasciare che la maggior parte dell’attacco passasse inosservato, separandolo in molti piccoli file, ciascuno dei quali ha una probabilità molto bassa di essere identificato dagli antivirus. Lo stadio finale dell’attacco porta all’infezione rootkit da parte di Purple Fox.
Chiaramente, il pericolo di ritrovarsi ad avere a che fare con un installer dannoso di Telegram si corre soltanto se il programma viene scaricato da canali diversi da quelli ufficiali. Per tenersi alla larga da situazioni spiacevoli, dunque, il consiglio è quello di prelevare le applicazioni da utilizzare sempre e solo dai siti Internet ufficiali degli sviluppatori e/o dai marketplace ufficiali.