Rootkit Purple Fox Agora Obtém Capacidades de Propagação de Worms
Índice:
Analistas de segurança da Guardicore Labs detectaram recentemente uma nova variante do notório rootkit Purple Fox, que agora se propaga como um worm em máquinas Windows. Esta última atualização de malware resulta em um aumento significativo de infecções por Purple Fox, mostrando um aumento de 600% desde a primavera de 2020. Esta campanha em andamento depende fortemente de varredura de portas e serviços SMB mal protegidos, destacando a mudança dos operadores de malware das funções de kit de exploração.
Visão Geral do Rootkit Purple Fox
O Purple Fox é um downloader de malware sem arquivo aprimorado com capacidades de rootkit e backdoor. Desde seu surgimento em 2018, a ameaça tem sido ativamente usada por adversários para entregar vários Trojans, mineradores de criptomoedas, variantes de roubo de informações e amostras de ransomware.
Inicialmente, o malware dependia principalmente de conhecidos exploits da Microsoft (CVE-2020-0674, CVE-2019-1458, CVE-2018-8120, CVE-2015-1701) e e-mails de phishing para entrega de malware. No entanto, em maio de 2020, o Purple Fox adquiriu capacidades semelhantes a um worm para infectar instâncias sem qualquer interação do usuário ou ferramentas adicionais. Agora ele pode se propagar por sistemas Windows via força bruta de SMB e infectar rapidamente milhares de dispositivos.
Após a infecção, o malware utiliza seu módulo de rootkit para ocultar atividades maliciosas, solta malware adicional no host e prossegue com suas tentativas de força bruta. O Guardicore Labs relatório estima que os operadores do Purple Fox realizaram mais de 90.000 ataques bem-sucedidos até março de 2021.
Nova Cadeia de Ataque
A cadeia de infecção tradicionalmente começa com um e-mail de phishing entregando uma nova variante do Purple Fox disfarçada como um pacote de atualização do Windows. Caso os usuários sejam enganados a executar o executável anexado, um instalador MSI dedicado baixa três payloads de um servidor Windows comprometido para executar funções de evasão, varredura de portas e persistência. Após a execução de código ser alcançada no host comprometido, o malware bloqueia as portas 445, 139, 135 para evitar a reinfecção, gera intervalos de IP e inicia varreduras na porta 445 para identificar dispositivos vulneráveis com serviços SMB expostos à internet. Se detectado, o Purple Fox realiza um ataque de força bruta SMB para infectar novos dispositivos e se propagar ainda mais.
Notavelmente, pesquisadores de segurança identificaram quase 3.000 servidores Microsoft comprometidos pelo Purple Fox para hospedar seus droppers e executáveis maliciosos. A maioria dos servidores executa a versão desatualizada IIS 7.5 e Microsoft FTP que, conforme relatado, têm várias falhas de segurança.
Detecção do Purple Fox
Para se defender contra a nova versão do malware Purple Fox, você pode baixar uma regra Sigma da comunidade desenvolvida por nosso ávido desenvolvedor do Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/kFqJgcTCHaf3/Nh_KiHgBFLC5HdFVUJe4
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Táticas: Persistência, Escalação de Privilégios
Técnicas: Novo Serviço (T1050)
Inscreva-se no Threat Detection Marketplace, uma plataforma líder mundial de Detecção como Código capaz de aumentar suas capacidades de defesa cibernética. Nossa biblioteca de conteúdo SOC contém mais de 100 mil regras de detecção e resposta, parsers, consultas de busca e outros conteúdos mapeados para os frameworks CVE e MITRE ATT&CK®, permitindo que você resista ao crescente número de ataques cibernéticos. Está atento às últimas tendências em cibersegurança e quer participar de atividades de caça a ameaças? Junte-se ao nosso Programa de Recompensas por Ameaças!
