Purple Fox Malware dodaje możliwości robaka w nowej kampanii

Purple Fox to odmiana złośliwego oprogramowania, która istnieje już od kilku lat. Jednak badacze bezpieczeństwa zgłosili nowy wzrost aktywności i infekcji Purple Fox, głównie spowodowany nowym rozszerzeniem zestawu narzędzi szkodliwego oprogramowania i dodaniem funkcjonalności robaka do pakietu.

Naukowcy współpracujący z Guardicore opublikowali nowy raport na temat Purple Fox. W raporcie zaznaczono, że podczas gdy wcześniej złośliwe oprogramowanie wykorzystywało wiadomości phishingowe i zestawy exploitów jako główny sposób rozprzestrzeniania się, teraz dodało możliwości podobne do robaków.

Nowy wektor infekcji Purple Fox obejmuje atakowanie komputerów z systemem Windows z aktywnym połączeniem z Internetem i haseł blokujących wiadomości serwera wymuszonych brutalnie.

Nowy wzrost liczby ataków fioletowych lisów

Ten nowy sposób infiltracji nowych maszyn został zauważony dopiero niedawno, w ramach czegoś, co wydaje się być nową kampanią mającą na celu rozprzestrzenianie Purple Fox. Po krótkim spadku liczby ataków Purple Fox pod koniec 2020 r. I w pierwszym miesiącu 2021 r., Liczba ataków wzrosła o 600%, a łączna liczba wynosi oszałamiającą 90 000.

Większość sieci zainfekowanych serwerów szkodliwego oprogramowania składa się z przestarzałych wersji Microsoft Server z IIS 7.5, a także Microsoft FTP. Oba te produkty, w wersji wykorzystywanej przez złośliwe oprogramowanie, mają znane luki w zabezpieczeniach, które raport opisuje jako mające „różne poziomy zagrożenia”.

Purple Fox, po wdrożeniu w systemie docelowym i osiągnięciu możliwości wykonywania kodu, ustanawia trwałość za pomocą nowej usługi, która uruchamia pętlę „for”, trafiając do puli adresów URL, które instalują ostateczny ładunek.

Prawdziwy ładunek jest dostarczany jako fałszywy instalator MSI aktualizacji systemu Windows. Guardicore zwrócił uwagę, że instalatory mają różne skróty, co jest szybką i brudną próbą zmylenia każdego, kto bada podobne ataki i próbuje powiązać je z tą samą kampanią lub źródłem.

Dodanie technik samodzielnego rozprzestrzeniania się do złośliwego oprogramowania, które pierwotnie działało bez nich, nie jest czymś nowym ani rewolucyjnym. Nawet Ryuk - jedna z najbardziej niesławnych rodzin ransomware, została zaktualizowana o możliwości samorozprzestrzeniania się robaka, jak donieśli naukowcy na początku 2021 roku.

Podobnie jak Purple Fox, Ryuk również rozprzestrzenia się za pomocą udziałów sieciowych blokujących wiadomości serwera i skanowania portów.