Το Purple Fox, ένα malware που είχε διανεμηθεί στο παρελθόν μέσω exploit kits και phishing emails, έχει πλέον προσθέσει ένα worm module που του επιτρέπει να ανιχνεύει και να μολύνει συστήματα Windows, τα οποία είναι προσβάσιμα μέσω του Διαδικτύου, σε συνεχιζόμενες επιθέσεις.
Το malware που είναι «εξοπλισμένο» με δυνατότητες rootkit και backdoor, εντοπίστηκε για πρώτη φορά το 2018, μετά τη μόλυνση τουλάχιστον 30.000 συσκευών, χρησιμοποιούμενο ως downloader για την ανάπτυξη άλλων στελεχών malware.
Διαβάστε επίσης: CHwapi: Το Windows BitLocker «χτύπησε» το νοσοκομείο του Βελγίου!
Το exploit kit module του Purple Fox έχει στοχεύσει επίσης συστήματα Windows στο παρελθόν για να μολύνει τους χρήστες των Windows μέσω των browsers τους, μετά την εκμετάλλευση της καταστροφής της μνήμης και των ευπαθειών κλιμάκωσης προνομίων.
Ξεκινώντας από τον Μάιο του 2020, οι επιθέσεις του Purple Fox γίνονται όλο και πιο έντονες, έχοντας φτάσει συνολικά τις 90.000 επιθέσεις και 600% περισσότερες «μολύνσεις», σύμφωνα με τους ερευνητές ασφαλείας της Guardicore Labs, Amit Serper και Ophir Harpaz.
Οι ενεργές προσπάθειες του malware για port scanning και εκμετάλλευση ξεκίνησαν στα τέλη του 2020, με βάση στοιχεία που συλλέχθηκαν από το Guardicore Global Sensors Network (GGSN).
Δείτε ακόμη: Το CopperStealer malware παραβιάζει Google, Facebook, Apple accounts
Αφού ανακαλύψει ένα εκτεθειμένο σύστημα Windows κατά τη σάρωση για συσκευές που είναι προσβάσιμες μέσω του Διαδικτύου, το worm module του Purple Fox, που προστέθηκε πρόσφατα, χρησιμοποιεί SMB password brute force για να το «μολύνει».
Μέχρι στιγμής, το Purple Fox έχει αναπτύξει τα malware droppers και πρόσθετα modules του σε ένα εκτεταμένο δίκτυο bots, έναν στρατό σχεδόν 2.000 παραβιασμένων servers
, σύμφωνα με την έκθεση της Guardicore Labs.Ανάμεσα στις συσκευές που περιλαμβάνονται σε αυτό το botnet συγκαταλέγονται μηχανήματα Windows Server που εκτελούν IIS έκδοση 7.5 και Microsoft FTP και servers που εκτελούν Microsoft RPC, Microsoft Server SQL Server 2008 R2 και Microsoft HTTPAPI httpd 2.0 και Microsoft Terminal Service. Το Purple Fox χρησιμοποιεί επίσης εκστρατείες phishing και web browser ευπάθειες για να αναπτύξει τα payloads του.
Επιπλέον, πριν την επανεκκίνηση της συσκευής, το Purple Fox εγκαθιστά ένα rootkit module που χρησιμοποιεί το κρυμμένο rootkit ανοιχτού κώδικα για την απόκρυψη dropped files και folders ή Windows registry entries που έχουν δημιουργηθεί στα μολυσμένα συστήματα.
Μετά την ανάπτυξη του rootkit και την επανεκκίνηση της συσκευής, το malware μετονομάζει το DLL payload του ώστε να ταιριάζει με το DLL του συστήματος των Windows και το ρυθμίζει ώστε να εκτελείται κατά την εκκίνηση του συστήματος.
Πρόταση: Matryosh botnet: Στοχεύει Android-based συσκευές για DDoS επιθέσεις!
Μόλις το malware εκτελεστεί κατά την εκκίνηση του συστήματος, καθένα από τα μολυσμένα συστήματα θα παρουσιάσει στη συνέχεια την ίδια συμπεριφορά τύπου worm, σαρώνοντας συνεχώς το Διαδίκτυο για άλλους στόχους και προσπαθώντας να τους παραβιάσει και να τους προσθέσει στο botnet.
Πηγή πληροφοριών: bleepingcomputer.com