Το Purple Fox Malware προσθέτει δυνατότητες σκουληκιών στη νέα καμπάνια

Το Purple Fox είναι ένα είδος κακόβουλου λογισμικού που υπάρχει εδώ και μερικά χρόνια. Ωστόσο, οι ερευνητές ασφαλείας ανέφεραν μια νέα αύξηση της δραστηριότητας και των λοιμώξεων με το Purple Fox, κυρίως λόγω της νέας επέκτασης της εργαλειοθήκης του κακόβουλου λογισμικού και της προσθήκης λειτουργικότητας worm στο πακέτο.

Οι ερευνητές που συνεργάστηκαν με το Guardicore δημοσίευσαν μια νέα έκθεση για το Purple Fox. Η έκθεση περιγράφει ότι ενώ το κακόβουλο λογισμικό χρησιμοποιούσε προηγουμένως ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" και εκμεταλλευόταν κιτ ως το κύριο μέσο διάδοσής του, έχει πλέον προσθέσει δυνατότητες τύπου worm.

Ο νέος φορέας μόλυνσης του Purple Fox περιλαμβάνει επιθέσεις σε υπολογιστές με ενεργή σύνδεση στο Διαδίκτυο και κωδικούς πρόσβασης μπλοκ μηνυμάτων διακομιστή.

Νέα Surge σε επιθέσεις Purple Fox

Αυτό το νέο μέσο διείσδυσης νέων μηχανημάτων εντοπίστηκε μόλις πρόσφατα, σε αυτό που φαίνεται να είναι μια νέα καμπάνια για τη διάδοση του Purple Fox. Μετά από μια σύντομη πτώση των επιθέσεων Purple Fox στο τέλος του 2020 και τον πρώτο μήνα του 2021, οι επιθέσεις αυξήθηκαν κατά 600% και το σύνολο ανέρχεται σε 90.000.

Η πλειοψηφία του δικτύου κακόβουλων διακομιστών αποτελείται από παλιές εκδόσεις του Microsoft Server με IIS 7.5, καθώς και Microsoft FTP. Και τα δύο αυτά προϊόντα, στην έκδοση που εκμεταλλεύεται το κακόβουλο λογισμικό, έχουν γνωστά τρωτά σημεία που η έκθεση περιγράφει ότι έχουν "διαφορετικά επίπεδα σοβαρότητας".

Το Purple Fox, αφού αναπτυχθεί σε ένα σύστημα στόχου και έχει επιτύχει δυνατότητες εκτέλεσης κώδικα, δημιουργεί επιμονή μέσω μιας νέας υπηρεσίας που εκτελεί βρόχο «για», χτυπώντας ένα σύνολο διευθύνσεων URL που εγκαθιστά το τελικό ωφέλιμο φορτίο.

Το πραγματικό ωφέλιμο φορτίο διατίθεται ως ψεύτικο πρόγραμμα εγκατάστασης MSI για Windows. Ο Guardicore επεσήμανε ότι οι εγκαταστάτες έχουν διαφορετικούς κατακερματισμούς, κάτι που είναι μια γρήγορη και βρώμικη προσπάθεια να μπερδέψει οποιονδήποτε εξετάζει παρόμοιες επιθέσεις και προσπαθεί να τις συνδέσει με την ίδια καμπάνια ή πηγή.

Η προσθήκη τεχνικών αυτοδιάδοσης στο κακόβουλο λογισμικό που ήταν αρχικά χωρίς αυτά δεν είναι κάτι νέο ή επαναστατικό. Ακόμη και ο Ryuk - μια από τις πιο περίφημες οικογένειες ransomware, ενημερώθηκε με δυνατότητες αυτοδιάδοσης τύπου worm, όπως ανέφεραν οι ερευνητές στις αρχές του 2021.

Παρόμοια με το Purple Fox, η Ryuk εξαπλώνεται επίσης χρησιμοποιώντας κοινόχρηστα στοιχεία κοινής χρήσης δικτύου μπλοκ μηνυμάτων διακομιστή και σάρωση θύρας.