Purple Fox Malware tilføjer ormefunktioner i ny kampagne
Purple Fox er en stamme af malware, der har eksisteret i et par år nu. Imidlertid har sikkerhedsforskere rapporteret om en ny stigning i aktivitet og infektioner med Purple Fox, hovedsageligt drevet af en ny udvidelse af malwareens værktøjssæt og tilføjelsen af ormfunktionalitet til pakken.
Forskere, der arbejder med Guardicore, offentliggjorde en ny rapport om Purple Fox. Rapporten skitserer, at mens malware tidligere brugte phishing-e-mails og udnyttelsessæt som dets primære formeringsform, har den nu tilføjet ormlignende funktioner.
Den nye infektionsvektor fra Purple Fox inkluderer angreb på Windows-maskiner med en aktiv forbindelse til Internettet og adgangskoder til servermeddelelsesblokering, der tvinges brutalt.
Ny bølge i lilla rævangreb
Dette nye middel til at infiltrere nye maskiner blev først set for nylig i hvad der ser ud til at være en ny kampagne for at sprede Purple Fox. Efter et kort fald i Purple Fox-angreb i slutningen af 2020 og den første måned i 2021 er angrebene sprunget 600%, og det samlede tal ligger på svimlende 90.000.
Et flertal af malwareens netværk af kompromitterede servere består af forældede versioner af Microsoft Server med IIS 7.5 samt Microsoft FTP. Begge disse produkter, i den version, der udnyttes af malware, har kendt sårbarheder, som rapporten beskriver som "forskellige sværhedsgrader".
Purple Fox, når den først er implementeret på et målsystem og har opnået kodeudførelsesfunktioner, etablerer vedholdenhed gennem en ny tjeneste, der kører en 'for' -sløjfe, der rammer en pool af URL'er, der installerer den endelige nyttelast.
Den rigtige nyttelast leveres pakket som et falsk Windows-opdaterings MSI-installationsprogram. Guardicore påpegede, at installatørerne har forskellige hashes, hvilket er et hurtigt og beskidt forsøg på at forvirre enhver, der undersøger lignende angreb og forsøger at linke dem til den samme kampagne eller kilde.
Tilføjelsen af selvforplantningsteknikker til malware, der oprindeligt var uden dem, er ikke noget nyt eller revolutionerende. Selv Ryuk - en af de mest berygtede ransomware-familier, blev opdateret med ormlignende selvforplantningsfunktioner, som rapporteret af forskere i begyndelsen af 2021.
I lighed med Purple Fox spreder Ryuk sig også ved hjælp af serverbeskedblok-netværksandele og portscanning.
