Purple Fox Malware adiciona recursos de worm em nova campanha
Purple Fox é um tipo de malware que já existe há alguns anos. No entanto, os pesquisadores de segurança relataram um novo aumento na atividade e infecções com o Purple Fox, em grande parte impulsionado por uma nova expansão do kit de ferramentas do malware e a adição da funcionalidade de worm ao pacote.
Os pesquisadores que trabalham com a Guardicore publicaram um novo relatório sobre a Fox Roxo. O relatório destaca que, embora o malware usasse anteriormente e-mails de phishing e kits de exploração como seu principal meio de propagação, agora ele adicionou recursos semelhantes a worm.
O novo vetor de infecção do Purple Fox inclui ataques a máquinas Windows com uma conexão ativa à Internet e senhas de bloqueio de mensagens de servidor de força bruta.
Novo surto de ataques de raposa roxa
Este novo meio de se infiltrar em novas máquinas foi descoberto apenas recentemente, no que parece ser uma nova campanha para espalhar a Fox Roxo. Após uma breve queda nos ataques do Purple Fox no final de 2020 e no primeiro mês de 2021, os ataques aumentaram 600% e o total está em incríveis 90.000.
A maioria da rede de servidores comprometidos do malware consiste em versões desatualizadas do Microsoft Server com IIS 7.5, bem como do FTP da Microsoft. Ambos os produtos, na versão explorada pelo malware, têm vulnerabilidades conhecidas que o relatório descreve como tendo "níveis de gravidade variáveis".
O Purple Fox, uma vez implantado em um sistema de destino e tendo alcançado os recursos de execução de código, estabelece persistência por meio de um novo serviço que executa um loop 'for', atingindo um pool de URLs que instala a carga útil final.
A carga útil real vem embalada como um falso instalador MSI de atualização do Windows. Guardicore apontou que os instaladores têm hashes diferentes, o que é uma tentativa rápida e suja de confundir qualquer pessoa que examine ataques semelhantes e tente vinculá-los à mesma campanha ou fonte.
O acréscimo de técnicas de autopropagação ao malware que originalmente não existia não é algo novo ou revolucionário. Até mesmo Ryuk - uma das famílias de ransomware mais infames, foi atualizado com recursos de autopropagação semelhantes a worm, conforme relatado por pesquisadores no início de 2021.
Semelhante ao Purple Fox, Ryuk também se espalha usando compartilhamentos de rede de bloco de mensagens de servidor e varredura de portas.