El Rootkit Purple Fox tiene un nuevo vector de infección debido a su reciente capacidad

Recientemente un grupo de investigadores han publicado un reporte donde explican sobre una nueva capacidad del Rootkit Purple Fox, que le permite propagarse y distribuirse a sí mismo, comportándose como un malware de tipo gusano.

En marzo del 2018 Purple Fox fue descubierto como un malware compuesto por un conjunto de software (Rootkit), para explotar vulnerabilidades que permitan a los actores maliciosos detrás de Purple Fox, escalar privilegios en el sistema afectado, estos exploits suelen apuntar a navegadores web y sistemas operativos Windows vulnerables. Su método de propagación por lo general había sido mediante Kits de exploits y campañas de correos Phishing.

Cabe destacar que este malware ha tenido un incremento considerable en su actividad y cantidad de infectados después del mes de Mayo del 2020, con un incremento del 600%.

Los expertos destacan que el comportamiento de Purple Fox no ha cambiado mucho post-explotación, pero en sus métodos de propagación y distribución si tiene diferencias significativas a las descritas en otros reportes publicados. Ellos han observado una infraestructura compuesta por un grupo de máquinas vulnerables y afectadas con el payload inicial del malware, donde las máquinas infectadas son utilizadas como nodos que constantemente realizan campañas de propagación de gusano.

En el reporte explica que los atacantes utilizan paquetes de Instalación de software de Microsoft (MSI) en aproximadamente 2.000 servidores comprometidos y reutilizados para hospedar las cargas maliciosas, donde la mayoría son versiones antiguas y desactualizadas de Windows Server y Microsoft FTP.

Estos servidores infectados son utilizados para iniciar la propagación de dos formas:

  1. Mediante la ejecución del payload gusano, al infectar la máquina de la víctima a través de un servicio expuesto y vulnerable (como SMB).
  2. Mediante la recepción del payload gusano, a través de una campaña de correos electrónicos Phishing.

Una vez que la máquina es infectada con el payload gusano, es creado un nuevo servicio, el cual tendrá un nombre de regex "AC0" seguido de un número del 0 al 9 (Ejemplo: AC01, AC03, AC05, etc.). El servicio tiene la función de establecer persistencia ejecutando un “loop”, con el fin de interactuar con un número de URLs que contienen el MSI que instala Purple Fox en la máquina afectada. Los investigadores destacan que la ejecución del “msiexec”, es realizado sin la interacción de usuario.


Persistencia mediante Loop hacia URLs con archivo MSI Purple Fox - Guardicore


Otra información destacable del reporte, es que el malware modifica el firewall de Windows utilizando comandos “netsh”. Donde el malware agrega una nueva política en el Firewall, llamada “Qianye”. Bajo esta política, es creado un nuevo filtro llamado “Filter1”, el cual prohíbe las conexiones a los puertos 445, 139, 135 en TCP y UDP desde internet hacia la máquina infectada. Según los expertos esto lo hicieron con la intención de detener el loop para que la máquina no sea re-infectada, así como para que sea explotada por un actor malicioso diferente. Además, entre estos comandos “netsh” se encuentra la instalación de una interfaz IPv6, utilizada por el malware para escanear puertos de direcciones IPv6.

Desde Arkavia Networks recomendamos a los usuarios tener sumo cuidado con los correos electrónicos sospechosos, debido a que este tipo de malware una vez ejecutado no requiere la interacción del usuario para infectar los dispositivos y que posteriormente se propagan por la red una vez infectado el equipo. De igual forma, recomendamos evitar la exposición de puertos o servicios que no estén actualizados, y de ser posible, poseer una o más capas de protección.



Lista de IoC


Referencia:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,Check Point,4,Chile,1,Chips,1,Chrome,3,Ciberataque,6,Cibercrimen,155,Cibercriminales,3,Ciberdelincuencia,16,ciberseguridad,174,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,2,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,4,Emotet,3,Empresas,116,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,Hacking,84,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,Malware,57,Malwares,32,Maze,2,MDM,1,Messenger,1,MFA,1,Microsoft,40,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,19,PHP,1,Plugins,1,PoC,2,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,25,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,19,Redes,30,redes sociales,12,Redhat,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,23,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,VNC,1,VPN,6,Vulnerabilidad,41,Vulnerabilidades,80,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: El Rootkit Purple Fox tiene un nuevo vector de infección debido a su reciente capacidad
El Rootkit Purple Fox tiene un nuevo vector de infección debido a su reciente capacidad
https://1.bp.blogspot.com/-tuwqer91Kd4/YFtynlysCgI/AAAAAAAACZ0/efcUWgOT6Ygkr49zomasBcPQIz8e2gmggCLcBGAsYHQ/w640-h320/New%2Bcapabilities%2BPurple%2BFox.jpg
https://1.bp.blogspot.com/-tuwqer91Kd4/YFtynlysCgI/AAAAAAAACZ0/efcUWgOT6Ygkr49zomasBcPQIz8e2gmggCLcBGAsYHQ/s72-w640-c-h320/New%2Bcapabilities%2BPurple%2BFox.jpg
Arkavia Networks News
https://www.arkalabs.cl/2021/03/el-rootkit-purple-fox-tiene-un-nuevo.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2021/03/el-rootkit-purple-fox-tiene-un-nuevo.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy