Вредоносное ПО Purple Fox добавляет возможности червей в новую кампанию

Purple Fox - это вредоносное ПО, которое существует уже несколько лет. Тем не менее, исследователи безопасности сообщают о новом всплеске активности и заражения Purple Fox, в значительной степени вызванном новым расширением набора инструментов вредоносного ПО и добавлением в пакет функций червя.

Исследователи, работающие с Guardicore, опубликовали новый отчет о Purple Fox. В отчете отмечается, что, хотя ранее вредоносная программа использовала фишинговые электронные письма и наборы эксплойтов в качестве основного средства распространения, теперь она добавила возможности, похожие на червей.

Новый вектор заражения Purple Fox включает в себя атаки на Windows-машины с активным подключением к Интернету и перебор паролей блокировки сообщений сервера.

Новый всплеск атак Purple Fox

Этот новый способ проникновения в новые машины был обнаружен только недавно, в рамках новой кампании по распространению Purple Fox. После кратковременного снижения количества атак Purple Fox в конце 2020 года и в первом месяце 2021 года количество атак выросло на 600%, а их общее количество достигло ошеломляющих 90000.

Большая часть сети скомпрометированных серверов вредоносного ПО состоит из устаревших версий Microsoft Server с IIS 7.5, а также Microsoft FTP. Оба этих продукта в той версии, которая используется вредоносным ПО, имеют известные уязвимости, которые в отчете описываются как имеющие «различные уровни серьезности».

Purple Fox, однажды развернутый в целевой системе и получивший возможности выполнения кода, обеспечивает постоянство с помощью новой службы, которая запускает цикл for, обращаясь к пулу URL-адресов, который устанавливает окончательную полезную нагрузку.

Настоящая полезная нагрузка поставляется в виде поддельного установщика MSI обновления Windows. Guardicore указала, что у установщиков разные хэши, что является быстрой и грязной попыткой запутать любого, кто изучает похожие атаки и пытается связать их с одной и той же кампанией или источником.

Добавление методов самораспространения к вредоносным программам, которые изначально не существовали, не является чем-то новым или революционным. Даже Ryuk - одно из самых печально известных семейств программ-вымогателей - получил обновленные возможности самораспространения, подобные червям, как сообщили исследователи в начале 2021 года.

Подобно Purple Fox, Ryuk также распространяется с использованием сетевых ресурсов для блокировки сообщений сервера и сканирования портов.