Purple Fox Malware aggiunge funzionalità worm nella nuova campagna

Purple Fox è un ceppo di malware che esiste da alcuni anni. Tuttavia, i ricercatori sulla sicurezza hanno segnalato un nuovo aumento dell'attività e delle infezioni da Purple Fox, in gran parte guidato da una nuova espansione del toolkit del malware e dall'aggiunta di funzionalità worm al pacchetto.

I ricercatori che lavorano con Guardicore hanno pubblicato un nuovo rapporto su Purple Fox. Il rapporto sottolinea che mentre il malware utilizzava in precedenza e-mail di phishing e kit di exploit come mezzo di propagazione principale, ora ha aggiunto funzionalità simili a worm.

Il nuovo vettore di infezione di Purple Fox include l'attacco alle macchine Windows con una connessione attiva a Internet e password di blocco dei messaggi del server a forza bruta.

Nuova ondata di attacchi di volpe viola

Questo nuovo mezzo per infiltrarsi in nuove macchine è stato individuato solo di recente, in quella che sembra essere una nuova campagna per diffondere Purple Fox. Dopo un breve calo degli attacchi di Purple Fox alla fine del 2020 e il primo mese del 2021, gli attacchi sono aumentati del 600% e il totale ammonta a 90.000.

La maggior parte della rete di server compromessi del malware è costituita da versioni obsolete di Microsoft Server con IIS 7.5 e da Microsoft FTP. Entrambi questi prodotti, nella versione sfruttata dal malware, hanno vulnerabilità note che il rapporto descrive come aventi "livelli di gravità variabili".

Purple Fox, una volta distribuito su un sistema di destinazione e dopo aver raggiunto le capacità di esecuzione del codice, stabilisce la persistenza attraverso un nuovo servizio che esegue un ciclo "for", raggiungendo un pool di URL che installa il payload finale.

Il vero carico utile viene fornito come un falso programma di installazione MSI di aggiornamento di Windows. Guardicore ha sottolineato che gli installatori hanno hash diversi, il che è un tentativo rapido e sporco di confondere chiunque esamini attacchi simili e provi a collegarli alla stessa campagna o fonte.

L'aggiunta di tecniche di auto-propagazione al malware che originariamente era senza di loro non è qualcosa di nuovo o rivoluzionario. Anche Ryuk, una delle famiglie di ransomware più famigerate, è stata aggiornata con capacità di auto-propagazione simili a worm, come riportato dai ricercatori all'inizio del 2021.

Simile a Purple Fox, Ryuk si diffonde anche utilizzando le condivisioni di rete del blocco dei messaggi del server e la scansione delle porte.

March 25, 2021
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.