Recientemente un grupo de investigadores han publicado un reporte donde explican sobre una nueva capacidad del Rootkit Purple Fox, que le permite propagarse y distribuirse a sí mismo, comportándose como un malware de tipo gusano.
En marzo del 2018 Purple Fox fue descubierto como un malware compuesto por un conjunto de software (Rootkit), para explotar vulnerabilidades que permitan a los actores maliciosos detrás de Purple Fox, escalar privilegios en el sistema afectado, estos exploits suelen apuntar a navegadores web y sistemas operativos Windows vulnerables. Su método de propagación por lo general había sido mediante Kits de exploits y campañas de correos Phishing.
Cabe destacar que este malware ha tenido un incremento considerable en su actividad y cantidad de infectados después del mes de Mayo del 2020, con un incremento del 600%.
Los expertos destacan que el comportamiento de Purple Fox no ha cambiado mucho post-explotación, pero en sus métodos de propagación y distribución si tiene diferencias significativas a las descritas en otros reportes publicados. Ellos han observado una infraestructura compuesta por un grupo de máquinas vulnerables y afectadas con el payload inicial del malware, donde las máquinas infectadas son utilizadas como nodos que constantemente realizan campañas de propagación de gusano.
En el reporte explica que los atacantes utilizan paquetes de Instalación de software de Microsoft (MSI) en aproximadamente 2.000 servidores comprometidos y reutilizados para hospedar las cargas maliciosas, donde la mayoría son versiones antiguas y desactualizadas de Windows Server y Microsoft FTP.
Estos servidores infectados son utilizados para iniciar la propagación de dos formas:
- Mediante la ejecución del payload gusano, al infectar la máquina de la víctima a través de un servicio expuesto y vulnerable (como SMB).
- Mediante la recepción del payload gusano, a través de una campaña de correos electrónicos Phishing.
Una vez que la máquina es infectada con el payload gusano, es creado un nuevo servicio, el cual tendrá un nombre de regex "AC0" seguido de un número del 0 al 9 (Ejemplo: AC01, AC03, AC05, etc.). El servicio tiene la función de establecer persistencia ejecutando un “loop”, con el fin de interactuar con un número de URLs que contienen el MSI que instala Purple Fox en la máquina afectada. Los investigadores destacan que la ejecución del “msiexec”, es realizado sin la interacción de usuario.
COMENTARIOS