Malware-ul Purple Fox a fost actualizat cu noi capabilități
Purple Fox, este un software malițios distribuit in trecut prin kituri de exploatare și email-uri de phishing. Acest software are caracteristici de rootkit și backdoor. În prezent a fost adăugat un modul de tip worm care îi permite să scaneze și să infecteze sistemele Windows care sunt accesibile din Internet.
Purple Fox a fost identificat pentru prima dată în anul 2018 după ce a infectat un număr de 30.000 de dispozitive și este folosit ca un program de descărcare pentru a infecta cu alte tipuri de malware. Începând cu anul 2020, atacurile Purple Fox s-au intensificat semnificativ, ajungând la un total de 90.000 de atacuri, cu 600% mai multe infectări, potrivit cercetătorilor de securitate Guardicore Labs, Amit Serper și Ophir Harpaz.
Până în prezent, Purple Fox a reușit să se extindă pe o rețea care are aproximativ 2.000 de servere compromise, potrivit raportului Guardicore Labs. Dispozitivele regăsite în acest botnet includ sisteme de Windows Server care rulează IIS versiunea 7.5, Microsoft FTP, serverele care rulează Microsoft RPC, Microsoft Server SQL Server 2008 R2, Microsoft HTTPAPI httpd 2.0, și Microsoft Terminal Service.
Noua capacitate de tip worm permite infectarea serverele prin metoda brute-forcing cu ajutorul serviciilor vulnerabile SMB. Folosește, de asemenea, campanii de phishing și vulnerabilitățile browserului web pentru a-și implementa sarcinile utile.
Înainte de a reporni dispozitivele infectate și de a câștiga persistență, Purple Fox instalează, de asemenea, și un modul de rootkit pentru a își ascunde fișierele și folderele sau intrările de regiștri Windows create pe sistemele infectate.
După implementarea rootkit-ului și repornirea dispozitivului, malware-ul își va redenumi sarcina utilă DLL (Data Description Language) pentru a se potrivi cu un DLL de sistem Windows și îl va configura pentru a fi lansat la pornirea sistemului.
Odată ce malware-ul este executat are loc lansarea sistemului infectat, fiecare dintre acestea va prezenta ulterior același comportament asemănător unui worm, scanând în mod repetat rețeaua pentru alte ținte și încercând compromiterea acestora și adăugarea la botnet.
