Rootkit Purple Fox sa teraz môže rozšíriť na ostatných Windows Počítače

Fialová líška, a Windows malvér, ktorý bol predtým známy infikovaním strojov pomocou exploit kitov a phishingových e-mailov, teraz pridal do svojho arzenálu novú techniku, ktorá mu dáva možnosti šírenia podobné červom.

Prebiehajúca kampaň využíva „novú techniku ​​šírenia prostredníctvom nerozlišujúceho skenovania portov a využívania exponovaných služieb SMB so slabými heslami a hashmi,“ podľa výskumníkov Guardicore, ktorí tvrdia, že útoky sa od mája 2020 zvýšili o približne 600 %.

Počas zvyšku roka 2020 a začiatkom roka 2021 bolo zaznamenaných celkovo 90 000 incidentov.

Purple Fox, prvýkrát objavený v marci 2018, je distribuovaný vo forme škodlivých dát „.msi“ hostených na takmer 2,000 ohrozených Windows servery, ktoré na oplátku stiahnu a spustia komponent s funkciami rootkitu, čo umožňuje aktérom hrozby skryť malvér v počítači a uľahčí tak uniknúť detekcii.

Guardicore hovorí, že Purple Fox sa po exploatácii príliš nezmenil, ale to, čo sa zmenilo, je jeho červovité správanie, ktoré umožňuje rýchlejšie šírenie malvéru.

Dosahuje to preniknutím do stroja obete prostredníctvom zraniteľnej, odhalenej služby, akou je blok správ servera (SMB), využívaním počiatočnej opory na vytvorenie vytrvalosti, stiahnutia užitočného zaťaženia zo siete Windows servery a tajne nainštalovať rootkit na hostiteľa.

Po infikovaní zablokuje malvér viacero portov (445, 139 a 135), pravdepodobne v snahe „zabrániť opätovnej infekcii infikovaného počítača a/alebo jeho zneužitiu iným aktérom hrozby,“ poznamenáva Amit Serper, nový Guardicore. viceprezident pre bezpečnostný výskum pre Severnú Ameriku.

V ďalšej fáze Purple Fox začína svoj proces šírenia vygenerovaním rozsahov IP a ich skenovaním na porte 445, pričom pomocou sond vyčlení zraniteľné zariadenia na internete so slabými heslami a brutálnym spôsobom ich prinúti, aby chytili stroje do botnetu.

Zatiaľ čo aktéri hrozieb často nasadzujú botnety na začatie útokov odmietnutia siete proti webovým stránkam s cieľom prepnúť ich do režimu offline, možno ich použiť aj na šírenie všetkých druhov malvéru vrátane ransomvéru na šifrovanie súborov na infikovaných počítačoch. v tomto prípade nie je hneď jasné, čo chcú útočníci dosiahnuť.

Nový vektor infekcie je ďalším znakom zločineckých operátorov, ktorí neustále prestavujú svoj mechanizmus distribúcie malvéru, aby rozpútali širokú sieť a ohrozili čo najviac strojov. Podrobnosti o indikátoroch kompromisu (IoC) spojených s kampaňou nájdete tu.