Clicky

El rootkit Purple Fox se puede propagar ahora a otras computadoras con Windows

Purple Fox

Purple Fox se distribuye en forma de cargas útiles ".msi" maliciosas

Purple Fox, un malware de Windows conocido anteriormente por infectar máquinas mediante el uso de kits de explotación y correos electrónicos de phishing, ha agregado ahora a su arsenal una nueva técnica que le brinda capacidades de propagación similares a las de los gusanos.

La campaña en curso hace uso de una "novedosa técnica de difusión a través del escaneo indiscriminado de puertos y la explotación de servicios SMB expuestos con contraseñas y hash débiles", según los investigadores de Guardicore, que dicen que los ataques se han disparado en aproximadamente un 600% desde mayo de 2020.

Se han detectado un total de 90.000 incidentes durante el resto de 2020 y principios de 2021.

Descubierto por primera vez en marzo de 2018, Purple Fox se distribuye en forma de cargas útiles ".msi" maliciosas alojadas en casi 2.000 servidores Windows comprometidos que, a su vez, descargan y ejecutan un componente con capacidades de rootkit, lo que permite a los actores de la amenaza ocultar el malware en la máquina y facilitar eludir la detección.

Guardicore dice que Purple Fox no ha cambiado mucho después de la explotación, pero donde lo ha hecho es en su comportamiento similar a un gusano, lo que permite que el malware se propague más rápidamente.

comportamiento de Purple Fox

Lo logra al irrumpir en una máquina víctima a través de un servicio vulnerable y expuesto, como el bloque de mensajes del servidor (SMB), aprovechando el punto de apoyo inicial para establecer la persistencia, extraer la carga útil de una red de servidores de Windows e instalar sigilosamente el rootkit en el host.

Una vez infectado, el malware bloquea varios puertos (445, 139 y 135), probablemente en un intento de "evitar que la máquina infectada sea reinfectada y/o explotada por un diferente actor de amenaza", señala Amit Serper, el nuevo vicepresidente de investigación de seguridad de Guardicore para América del Norte.

En la siguiente fase, Purple Fox comienza su proceso de propagación generando rangos de IP y escaneándolos en el puerto 445, utilizando las sondas para identificar dispositivos vulnerables en Internet con contraseñas débiles y obligándolos a atrapar las máquinas en una botnet.

Si bien las redes de bots a menudo son implementadas por los actores de amenazas para lanzar ataques de denegación de red contra sitios web con el objetivo de desconectarlos, también se pueden usar para propagar todo tipo de malware, incluido ransomware de cifrado de archivos en las computadoras infectadas aunque, en este caso, no está claro de inmediato qué buscan lograr los atacantes.

En todo caso, el nuevo vector de infección es otra señal de que los operadores delictivos actualizan constantemente su mecanismo de distribución de malware para lanzar una red amplia y comprometer tantas máquinas como sea posible. Los detalles sobre los indicadores de compromiso (IoC) asociados con la campaña se pueden consultar aquí.

Jesus_Caceres