Fai attenzione al malware Purple Fox che colpisce Windows

buongiorno cari lettori, oggi parleremo di un nuovo malware che colpisce windows.

Secondo i ricercatori, gli attacchi di malware Purple Fox si sono intensificati in modo significativo e da maggio 2020 ha lanciato un totale di 90.000 attacchi.

Rilevato per la prima volta nel 2018, il malware Purple Fox è stato distribuito tramite e-mail di phishing e kit di exploit. A quel tempo, è riuscito a infettare circa 30.000 dispositivi. In precedenza poteva distribuire altri ceppi di malware ed era utilizzato principalmente come downloader.

Secondo l'ultimo rapporto di Guardicore Labs, questo malware è riemerso con un modulo worm che gli consente di scansionare e infettare i sistemi Windows connessi a Internet. Quindi l'infezione si diffonde da computer a computer.

Secondo i ricercatori, il malware ora sfrutta la corruzione della memoria e le falle dei privilegi di elevazione per infettare il sistema tramite browser web. Oltre alle funzionalità di rootkit e backdoor, la nuova versione utilizza il metodo della forza bruta SMB per infettare i sistemi.

In che modo il malware Purple Fox prende di mira i sistemi?

Il malware Purple Fox si intromette in una macchina tramite un server message block (SMB) vulnerabile / o altri servizi simili per ottenere un punto d'appoggio e una persistenza iniziali. Quindi estrae il payload da una rete di server Windows e installa silenziosamente il rootkit.

Dopo aver stabilito l'infezione, blocca più porte, incluse 445, 139 e 135, per impedire che la macchina venga sfruttata da un altro utente malintenzionato o venga reinfettata. Fatto ciò, avvia il processo di propagazione generando intervalli IP e li scansiona sulla porta 445.

Utilizza la sonda per individuare i dispositivi vulnerabili su Internet, come quelli con password deboli, e utilizza la forza bruta, li intrappola in una botnet. Non è ancora chiaro se gli aggressori vogliano utilizzare la botnet negli attacchi DoS o meno.

Fai attenzione al malware Purple Fox con il modulo worm che colpisce Windows

90.000 attacchi finora!

Secondo Ophir Harpaz e Amit Serper, ricercatori sulla sicurezza di Guardicore Labs, da maggio 2020 gli attacchi di malware si sono intensificati in modo significativo e ha lanciato un totale di 90.000 attacchi. Ci sono state infezioni del 600% in più. Sebbene non sia la prima volta che il malware Purple Fox prende di mira i sistemi, l'intensità dell'attacco è di gran lunga superiore a prima.

La funzionalità non è cambiata molto

Secondo Guardicore VP Amit Serper, la funzionalità di Purple Fox non è cambiata molto. I suoi metodi di diffusione e distribuzione sono gli stessi di prima, ma il comportamento simile a un worm è diverso. I ricercatori hanno notato che la sua ultima infrastruttura sembra essere realizzata con un misto di server vulnerabili / sfruttati, macchine infette e server.

"Durante la nostra ricerca, abbiamo osservato un'infrastruttura che sembra essere composta da un miscuglio di server vulnerabili e sfruttati che ospitano il payload iniziale del malware, macchine infette che fungono da nodi di quelle campagne di worming costantemente e infrastruttura di server che sembra essere correlato ad altre campagne di malware ", ha spiegato Serper in un post sul blog.

Secondo quanto riferito, gli aggressori ospitano diversi pacchetti MSI su circa 2.000 server. La maggior parte di loro sono macchine compromesse che sono state riproposte per ospitare payload dannosi.