Purple Fox, un malware de Windows que se distribuía anteriormente a través de kits de explotación y correos electrónicos de phishing, se ha actualizado para incluir la capacidad de fuerza bruta de contraseñas SMB que le permite propagarse como un gusano por todo el ecosistema de Microsoft Windows.
Observado por primera vez en marzo de 2018, Purple Fox se distribuye en forma de cargas útiles ".msi" maliciosas alojadas en casi 2000 servidores Windows comprometidos que, a su vez, descargan y ejecutan un componente con capacidades de rootkit, lo que permite a sus operadores ocultar el malware en la máquina y evadir la detección.
Según los investigadores de Guardicore, la nueva campaña utiliza una "técnica de difusión novedosa a través del escaneo de puertos indiscriminado y la explotación de servicios SMB expuestos con contraseñas y hashes débiles". También señalaron que desde mayo de 2020, la cantidad de ataques que involucran a Purple Fox se ha disparado en casi un 600% y ascendió a un total de 90,000 ataques.
Guardicore dice que la mayoría de los servidores, que están sirviendo la carga útil inicial, se ejecutan en versiones relativamente antiguas de Windows Server que ejecutan IIS versión 7.5 y Microsoft FTP, que se sabe que están plagados de múltiples vulnerabilidades.
Los investigadores identificaron dos mecanismos de difusión distintos involucrados en esta campaña:
1. La carga útil del gusano se ejecuta después de que una máquina víctima se vea comprometida a través de un servicio expuesto vulnerable (como SMB).
2. La carga útil del gusano se envía por correo electrónico a través de una campaña de phishing (que podría vincular los hallazgos publicados anteriormente sobre Purple Fox) que explota una vulnerabilidad del navegador.
“A medida que la máquina responde a la sonda SMB que se envía en el puerto 445, intentará autenticarse en SMB mediante la fuerza bruta de nombres de usuario y contraseñas o intentando establecer una sesión nula”, explica Guardicore.
“Si la autenticación es exitosa, el malware creará un servicio cuyo nombre coincida con la expresión regular AC0 [0-9] {1}, por ejemplo, AC01, AC02, AC05 que descargará el paquete de instalación de MSI de uno de los muchos servidores HTTP y, por lo tanto, completará el ciclo de infección ".
Puede encontrar más información técnica, así como indicadores de compromiso relacionados con la campaña en curso, en el artículo de Guardicore aquí .
