„Purple Fox“ kenkėjiška programa prideda kirminų galimybes naujoje kampanijoje

„Purple Fox“ yra kenkėjiškų programų padermė, egzistuojanti jau keletą metų. Tačiau saugumo tyrėjai pranešė apie naują „Purple Fox“ aktyvumo ir infekcijų augimą, kurį daugiausia lėmė naujas kenkėjiškų programų įrankių rinkinio išplėtimas ir kirminų funkcijų įtraukimas į paketą.

Mokslininkai, dirbantys su „Guardicore“, paskelbė naują „Purple Fox“ pranešimą. Ataskaitoje pabrėžiama, kad nors kenkėjiška programa anksčiau kaip pagrindinę skleidimo priemonę naudojo sukčiavimo el. Laiškus ir naudojo rinkinius, dabar ji pridėjo į kirminus panašių galimybių.

Naujas „Purple Fox“ infekcijos vektorius apima „Windows“ mašinų puolimą aktyviu ryšiu su internetu ir žiauriai verčiančius serverio pranešimų blokavimo slaptažodžius.

Naujas purpurinių lapių priepuolių šuolis

Ši nauja priemonė įsiskverbti į naujas mašinas buvo pastebėta visai neseniai, atrodo, nauja kampanija „Purple Fox“ skleisti. Trumpai sumažėjus „Purple Fox“ atakoms 2020 m. Pabaigoje ir 2021 m. Pirmąjį mėnesį, atakos išaugo 600%, o bendras skaičius siekia stulbinamą 90 000.

Daugumą kenkėjiškų programų pažeistų serverių tinklo sudaro pasenusios „Microsoft Server“ versijos su IIS 7.5, taip pat „Microsoft FTP“. Abiejuose produktuose, naudojant kenkėjiškų programų versiją, yra pažeidžiamumų, kurie ataskaitoje apibūdinami kaip „skirtingo sunkumo“.

„Purple Fox“, įdiegta tikslinėje sistemoje ir pasiekusi kodo vykdymo galimybes, sukuria atkaklumą naudodama naują paslaugą, kuri vykdo „už“ kilpą, pataikydama į URL grupę, kuri įdiegia galutinę naudingąją apkrovą.

Tikroji naudingoji apkrova pateikiama kaip suklastota „Windows“ naujinimo „MSI“ diegimo programa. „Guardicore“ atkreipė dėmesį, kad montuotojai turi skirtingas maišas, o tai yra greitas ir nešvarus bandymas suklaidinti tuos, kurie nagrinėja panašias atakas ir bando susieti juos su ta pačia kampanija ar šaltiniu.

Savęs platinimo būdų pridėjimas prie kenkėjiškų programų, kurios iš pradžių buvo be jų, nėra kažkas naujo ar revoliucinio. Net Ryukas - viena iš labiausiai pagarsėjusių išpirkos reikalaujančių programų šeimų, buvo atnaujinta į kirminus panašaus savęs platinimo galimybėmis, kaip tyrėjai pranešė 2021 m. Pradžioje.

Panašiai kaip „Purple Fox“, „Ryuk“ taip pat plinta naudodamasis serverio pranešimų blokavimo tinklo dalimis ir uosto nuskaitymu.