Purple Fox Malware aggiunge funzionalità worm nella nuova campagna
Purple Fox è un ceppo di malware che esiste da alcuni anni. Tuttavia, i ricercatori sulla sicurezza hanno segnalato un nuovo aumento dell'attività e delle infezioni da Purple Fox, in gran parte guidato da una nuova espansione del toolkit del malware e dall'aggiunta di funzionalità worm al pacchetto.
I ricercatori che lavorano con Guardicore hanno pubblicato un nuovo rapporto su Purple Fox. Il rapporto sottolinea che mentre il malware utilizzava in precedenza e-mail di phishing e kit di exploit come mezzo di propagazione principale, ora ha aggiunto funzionalità simili a worm.
Il nuovo vettore di infezione di Purple Fox include l'attacco alle macchine Windows con una connessione attiva a Internet e password di blocco dei messaggi del server a forza bruta.
Nuova ondata di attacchi di volpe viola
Questo nuovo mezzo per infiltrarsi in nuove macchine è stato individuato solo di recente, in quella che sembra essere una nuova campagna per diffondere Purple Fox. Dopo un breve calo degli attacchi di Purple Fox alla fine del 2020 e il primo mese del 2021, gli attacchi sono aumentati del 600% e il totale ammonta a 90.000.
La maggior parte della rete di server compromessi del malware è costituita da versioni obsolete di Microsoft Server con IIS 7.5 e da Microsoft FTP. Entrambi questi prodotti, nella versione sfruttata dal malware, hanno vulnerabilità note che il rapporto descrive come aventi "livelli di gravità variabili".
Purple Fox, una volta distribuito su un sistema di destinazione e dopo aver raggiunto le capacità di esecuzione del codice, stabilisce la persistenza attraverso un nuovo servizio che esegue un ciclo "for", raggiungendo un pool di URL che installa il payload finale.
Il vero carico utile viene fornito come un falso programma di installazione MSI di aggiornamento di Windows. Guardicore ha sottolineato che gli installatori hanno hash diversi, il che è un tentativo rapido e sporco di confondere chiunque esamini attacchi simili e provi a collegarli alla stessa campagna o fonte.
L'aggiunta di tecniche di auto-propagazione al malware che originariamente era senza di loro non è qualcosa di nuovo o rivoluzionario. Anche Ryuk, una delle famiglie di ransomware più famigerate, è stata aggiornata con capacità di auto-propagazione simili a worm, come riportato dai ricercatori all'inizio del 2021.
Simile a Purple Fox, Ryuk si diffonde anche utilizzando le condivisioni di rete del blocco dei messaggi del server e la scansione delle porte.