Purple Fox,un malware in circolazione da marzo 2018, nella sua nuova versione infetta i sistemi windows.
Precedentemente distribuito tramite kit di exploit ed e-mail di phishing, ha ora aggiunto un modulo worm che gli consente di scansionare e infettare i sistemi Windows raggiungibili su Internet durante gli attacchi.
l malware viene fornito con funzionalità di rootkit e backdoor, è stato individuato per la prima volta nel 2018 dopo aver infettato almeno 30.000 dispositivi e viene utilizzato come downloader per distribuire altri ceppi di malware.
Il modulo dell’exploit kit di Purple Fox ha anche preso di mira i sistemi Windows in passato per infettare gli utenti di Windows attraverso i loro browser web dopo aver sfruttato il danneggiamento della memoria e l’elevazione delle vulnerabilità dei privilegi.
La nuova funzionalità ideata dai cyber criminali prende di mira i servizi Server Message Block (SMB), gli stessi alla base dell’exploit EternalBlue, puntando a compromettere quelli con password o hash “deboli”.
Dopo aver distribuito il rootkit e riavviato il dispositivo, il malware rinominerà il suo payload DLL in modo che corrisponda a una DLL di sistema Windows e lo configurerà per essere avviato all’avvio del sistema.
Una volta che il malware viene eseguito all’avvio del sistema, ciascuno dei sistemi infetti mostrerà successivamente lo stesso comportamento simile a un worm, scansionando continuamente Internet alla ricerca di altri bersagli e tentando di comprometterli e aggiungerli alla botnet.
Secondo i ricercatori di Guardicore Labs, che illustrano le caratteristiche della nuova variante di Purple Fox in un report pubblicato sul sito ufficiale della società di sicurezza, l’evoluzione del malware ha portato a una amplificazione esponenziale della sua capacità di diffusione, portando a un aumento delle infezioni del 600%.
Gli attacchi utilizzerebbero una rete di oltre 2.000 server compromessi, che funzionerebbero come “tramploino di lancio” per Purple Fox.
L’ennesimo malware in circolazione.
