Purple Fox, una nueva amenaza para Windows

Un nuevo vector de infección del malware establecido pone en riesgo los sistemas Windows orientados a Internet por el forzamiento de contraseñas SMB.

Un malware que históricamente se ha dirigido a máquinas Windows expuestas a través de phishing y kits de explotación ha sido retocado para añadir nuevas capacidades de «gusano».

Purple Fox, que apareció por primera vez en 2018, es una campaña de malware activa que hasta hace poco requería la interacción del usuario o algún tipo de herramienta de terceros para infectar máquinas Windows. Sin embargo, los atacantes detrás de la campaña ahora han mejorado su juego y han añadido una nueva funcionalidad que puede forzar su entrada en los sistemas de las víctimas por sí sola, según la nueva investigación del martes de Guardicore Labs.

«Guardicore Labs ha identificado un nuevo vector de infección de este malware en el que las máquinas Windows con acceso a Internet están siendo vulneradas a través de la fuerza bruta de las contraseñas SMB», dijo Amit Serper de Guardicore Labs.

Además de estas nuevas capacidades de los gusanos, el malware Purple Fox ahora también incluye un rootkit que permite a los actores de la amenaza ocultar el malware en la máquina y dificultar su detección y eliminación, dijo.

Último vector de ataque

Los investigadores analizaron la última actividad de Purple Fox y encontraron dos cambios significativos en la forma en que los atacantes están propagando el malware en las máquinas Windows.

El primero es que la nueva carga útil del gusano se ejecuta después de que una máquina víctima se vea comprometida a través de un servicio vulnerable expuesto (como SMB).

Purple Fox también está utilizando una táctica anterior para infectar máquinas con malware a través de una campaña de phishing, enviando la carga útil a través de correo electrónico para explotar una vulnerabilidad del navegador, observaron los investigadores.

Una vez que el gusano infecta la máquina de la víctima, crea un nuevo servicio para establecer la persistencia y ejecutar un simple comando que puede iterar a través de una serie de URLs que incluyen el MSI para instalar Purple Fox en una máquina comprometida, dijo Serper.

«msiexec se ejecutará con la bandera /i, para descargar e instalar el paquete MSI malicioso desde uno de los hosts de la declaración», explicó.

«También se ejecutará con la bandera /Q para una ejecución ‘silenciosa’, es decir, no se requerirá la interacción del usuario».

Una vez ejecutado el paquete, el instalador MSI se lanzará haciéndose pasar por un paquete de Windows Update junto con un texto en chino, que se traduce aproximadamente como «Windows Update» y letras aleatorias, dijo. Estas letras se generan aleatoriamente entre cada instalador MSI para crear un hash diferente y dificultar la creación de enlaces entre diferentes versiones del mismo MSI.

«Esta es una forma ‘barata’ y sencilla de evadir varios métodos de detección, como las firmas estáticas», escribió Serper.

A medida que la instalación avanza, el instalador extrae las cargas útiles y las descifra desde el paquete MSI, actividad que incluye la modificación del cortafuegos de Windows de tal manera que impide que la máquina infectada sea reinfectada, y/o que sea explotada por un actor de amenaza diferente, observaron los investigadores.

A continuación, se ejecutan los archivos extraídos y se instala un rootkit -que «irónicamente» fue desarrollado por un investigador de seguridad para mantener ocultas las tareas de investigación del malware- que oculta varias claves y valores del registro, archivos, etc., según Serper.

A continuación, el instalador reinicia la máquina para cambiar el nombre de la biblioteca de enlaces dinámicos (DLL) del malware y convertirla en un archivo DLL del sistema que se ejecutará en el arranque, así como para ejecutar el malware, que comienza inmediatamente su proceso de propagación. Esto implica generar rangos de IP y comenzar a escanearlos en el puerto 445 para iniciar el proceso de fuerza bruta, dijeron los investigadores.

Si la autenticación tiene éxito, el malware creará un servicio que descargará el paquete de instalación MSI desde uno de los muchos servidores HTTP en uso, completando el bucle de la infección, según los investigadores.

Actividad anterior de Purple Fox

https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/24104814/pfox-graph-watermark.png

Los investigadores identificaron casi 3.000 servidores previamente comprometidos por los actores detrás de Purple Fox, que han reutilizado para alojar sus droppers y cargas útiles maliciosas, dijo Serper.

«Hemos establecido que la gran mayoría de los servidores, que están sirviendo la carga útil inicial, se ejecutan en versiones relativamente antiguas de Windows Server con IIS versión 7.5 y Microsoft FTP, que se sabe que tienen múltiples vulnerabilidades con diferentes niveles de gravedad», escribió.

Según los investigadores, la última vez que se vio a Purple Fox realizando una actividad maliciosa significativa fue durante la primavera y el verano pasados, con una ligera disminución de la actividad hacia el final del año y un nuevo repunte a principios de 2021. Desde mayo de 2020, las infecciones aumentaron en un 600% para un total de 90.000 ataques en el momento de la publicación, según los investigadores.

El pasado mes de julio, por ejemplo, el kit de explotación Purple Fox (EK) añadió a su bolsa de trucos dos nuevos exploits dirigidos a vulnerabilidades críticas y de alta gravedad de Microsoft. En ese momento los investigadores dijeron que esperaban que los atacantes añadieran también nuevas funcionalidades en el futuro.

Purple Fox es sólo el último malware al que se le han añadido funciones de «gusano»: otras familias de malware, como el Grupo Rocke y el ransomware Ryuk, también han añadido funciones de autopropagación.

Fuente: threatpost

Comments are closed.