El rootkit Purple Fox ahora adquiere capacidades de propagación de gusanos
Tabla de contenidos:
Analistas de seguridad de Guardicore Labs han detectado recientemente una nueva variante del notorio rootkit Purple Fox, que ahora se propaga como un gusano a través de máquinas Windows. Esta última mejora del malware resulta en un aumento significativo de infecciones de Purple Fox, mostrando un aumento del 600% desde la primavera de 2020. Esta campaña en curso depende en gran medida del escaneo de puertos y de servicios SMB mal asegurados, destacando el cambio de los operadores del malware desde funciones de kits de explotación.
Descripción general del Rootkit Purple Fox
Purple Fox es un descargador de malware sin archivos mejorado con capacidades de rootkit y puerta trasera. Desde su aparición en 2018, la amenaza ha sido utilizada activamente por adversarios para entregar varios troyanos, criptomineras, cepas de robo de información y muestras de ransomware.
Inicialmente, el malware dependía principalmente de conocidas vulnerabilidades de Microsoft (CVE-2020-0674, CVE-2019-1458, CVE-2018-8120, CVE-2015-1701) y correos electrónicos de phishing para la entrega de malware. Sin embargo, en mayo de 2020, Purple Fox adquirió capacidades de tipo gusano para infectar instancias sin ninguna interacción del usuario ni herramientas adicionales. Ahora puede propagarse a través de sistemas Windows mediante fuerza bruta SMB e infectar rápidamente miles de dispositivos.
Tras la infección, el malware utiliza su módulo de rootkit para ocultar la actividad maliciosa, descarga malware adicional al host y continúa con sus intentos de fuerza bruta. Los Laboratorios Guardicore informe estima que los operadores de Purple Fox realizaron más de 90,000 ataques exitosos para marzo de 2021.
Nueva Cadena de Eliminación de Ataques
La cadena de infección tradicionalmente comienza con un correo electrónico de phishing que entrega una nueva cepa de tipo gusano de Purple Fox disfrazada como un paquete de actualización de Windows. En caso de que los usuarios sean engañados para ejecutar el ejecutable adjunto, un instalador MSI dedicado descarga tres cargas útiles desde un servidor Windows comprometido para realizar funciones de evasión, escaneo de puertos y persistencia. Después de lograr la ejecución de código en el host comprometido, el malware bloquea los puertos 445, 139, 135 para prevenir la reinfección, genera rangos de IP y comienza escaneos de puerto 445 para identificar dispositivos vulnerables con servicios SMB expuestos a internet. Si se detectan, Purple Fox realiza un ataque de fuerza bruta SMB para infectar nuevos dispositivos y propagarse aún más.
Es notable que los investigadores de seguridad identificaron casi 3,000 servidores Microsoft comprometidos por Purple Fox para alojar sus descargadores y ejecutables maliciosos. La mayoría de los servidores ejecutan versiones obsoletas de IIS 7.5 y Microsoft FTP que, según informes, tienen múltiples fallas de seguridad.
Detección de Purple Fox
Para defenderse contra la nueva versión del malware Purple Fox, puedes descargar una regla Sigma comunitaria desarrollada por nuestro entusiasta desarrollador de recompensas por amenazas Osman Demir:
https://tdm.socprime.com/tdm/info/kFqJgcTCHaf3/Nh_KiHgBFLC5HdFVUJe4
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tácticas: Persistencia, Escalada de Privilegios
Técnicas: Nuevo Servicio (T1050)
Suscríbete al Mercado de Detección de Amenazas, una plataforma líder mundial de Detección como Código capaz de mejorar tus capacidades de defensa cibernética. Nuestra biblioteca de contenido SOC contiene más de 100,000 reglas de detección y respuesta, analizadores, consultas de búsqueda y otro contenido mapeado a los marcos CVE y MITRE ATT&CK® para que puedas resistir el creciente número de ciberataques. ¿Manteniendo un ojo atento a las últimas tendencias en ciberseguridad y deseas participar en actividades de caza de amenazas? ¡Únete a nuestro Programa de Recompensas por Amenazas!
