A Purple Fox Malware féreg képességeket ad hozzá az új kampányhoz
A Purple Fox egy olyan rosszindulatú program törzse, amely már néhány éve létezik. A biztonsági kutatók azonban a Purple Fox aktivitásának és fertőzéseinek új lendületéről számoltak be, elsősorban a rosszindulatú programok eszköztárának új bővítésével és a féregfunkciók hozzáadásával a csomaghoz.
A Guardicore-szal dolgozó kutatók új jelentést tettek közzé a Purple Foxról. A jelentés vázolja, hogy míg a rosszindulatú programok korábban az adathalász e-maileket használták és a készleteket használták ki elsődleges terjesztési eszközeiként, mára féregszerű képességeket adott hozzá.
A Purple Fox új fertőzési vektora magában foglalja az aktív internetkapcsolattal rendelkező Windows gépek megtámadását és a kiszolgáló üzenetek blokkolásának jelszavait.
Új lökés a lila róka támadásaiban
Az új gépekbe való beszivárgásnak ezt az új módját csak a közelmúltban fedezték fel, a Purple Fox elterjesztésének új kampányának tűnik. A lila róka támadásainak rövid leesése után 2020 végén és 2021 első hónapjában a támadások 600% -kal megugrottak, és az összesítés megdöbbentő 90 000-re áll.
A rosszindulatú programok sérült kiszolgálóinak hálózatának többsége a Microsoft Server IIS 7.5-tel rendelkező elavult verzióiból, valamint a Microsoft FTP-ből áll. Mindkét terméknek a kártevő által kihasznált változatban ismertek a sérülékenységek, amelyekről a jelentés szerint "különböző súlyosságúak".
A Purple Fox, miután egy célrendszerre telepítették és elérték a kódfuttatási képességeket, egy új szolgáltatás révén létrehozza a kitartást, amely egy „for” ciklust futtat, és eléri az URL-készletet, amely telepíti a végső hasznos terhet.
A valódi hasznos teher hamis Windows Update MSI telepítőként van csomagolva. A Guardicore felhívta a figyelmet arra, hogy a telepítők különböző hash-okkal rendelkeznek, ami gyors és piszkos kísérlet arra, hogy összezavarja a hasonló támadásokat vizsgáló és ugyanazon kampányhoz vagy forráshoz kapcsoló embereket.
Az önterjesztési technikák hozzáadása a rosszindulatú programokhoz, amelyek eredetileg nélkülük voltak, nem valami új vagy forradalmi. Még Ryuk - az egyik leghírhedtebb ransomware-család - frissült féregszerű önterjesztési képességekkel, amint arról a kutatók 2021 elején beszámoltak.
A Purple Foxhoz hasonlóan a Ryuk is kiszolgálói üzenet blokkolásával osztja meg a hálózati megosztásokat és a portok vizsgálatát.