Malware Purple Fox colpisce i PC Windows esposti

Una nuova funzionalità del malware Purple Fox colpisce i sistemi Windows con servizi SMB esposti.

Business Vulnerabilità
Una nuova variante del malware Purple Fox con funzionalità di worm si sita diffondendo rapidamente fra i computer Windows con servizi SMB vulnerabili esposti a Internet. Inoltre continua a diffondersi sfruttando le usuali campagne di phishing. L'allarme è stato lanciato dai ricercatori di sicurezza di Guardicore Labs, che monitorano da tempo questa minaccia.

Purple Fox infatti è una vecchia conoscenza: fu scoperto per la prima volta nel 2018. Ai tempi si trattava di un malware che si diffondeva tramite exploit kit e campagne di phishing, quindi in maniera tradizionale. Nelle ultime settimane tuttavia i ricercatori hanno intercettato una nuova campagna, che è tuttora in corso, e che sfrutta un nuovo metodo di propagazione.

L'azione si sviluppa a partire dalla scansione delle porte aperte e dallo sfruttamento di servizi SMB esposti con password deboli. I dati di telemetria raccolti utilizzando il Guardicore Global Sensors Network (GGSN) rivelano che i tentativi di scansione e sfruttamento delle porte aperte sono iniziati alla fine dello scorso anno.
purple foxDa gennaio 2021 il numero complessivo di infezioni è aumentato di circa il 600% e gli attacchi totali sono attualmente a quota 90.000. Dopo aver individuato un sistema Windows esposto mediante scansione, il nuovo modulo worm di Purple Fox attiva un attacco brute force per forzare la password SMB e infettarlo. Una volta che i sistemi Windows sono stati compromessi, il malware li sfrutta per ospitare payload dannosi.

Un altro elemento di cui è importante tenere conto è la persistenza. Una volta eseguito il codice malevolo su un computer target, viene creato un nuovo servizio che esegue il ciclo dei comandi ed estrae payload Purple Fox da URL dannosi. La presenza della minaccia è difficile da rilevare perché il programma di installazione è mascherato per apparire come un comune pacchetto Windows.

I payload che vengono estratti sono tre, e fra le azioni che svolgono c'è il blocco di un certo numero di porte, per evitare che il server vulnerabile venga reinfettato con altri malware. Altre azioni consistono nell'installazione di un'interfaccia IPv6 per massimizzare l'efficienza delle subnet IPv6 distribuite e l'avvio della scansione sulla porta 445 per diffondersi.
purple fox attack flowI ricercatori stimano che Purple Fox abbia distribuito i suoi dropper malware e relativi moduli aggiuntivi su una vasta rete di bot, composta da quasi 2.000 server compromessi. I ricercatori hanno individuato un'infrastruttura composta da server sfruttati che ospitano il payload iniziale del malware, macchine infette che servono come nodi per le campagne, e un'infrastruttura server che sembra essere correlata ad altre campagne malware.

I dispositivi intrappolati in questa botnet includono computer Windows Server che eseguono IIS versione 7.5 e Microsoft FTP, e server che eseguono Microsoft RPC, Microsoft Server SQL Server 2008 R2 e Microsoft HTTPAPI httpd 2.0 e Microsoft Terminal Service.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori