Un malware che storicamente ha preso di mira macchine Windows esposte tramite phishing e kit di exploit è stato riorganizzato per aggiungere nuove funzionalità “worm”.
Purple Fox, apparsa per la prima volta nel 2018, è una campagna di malware attiva che fino a poco tempo fa richiedeva l’interazione dell’utente o una sorta di strumento di terze parti per infettare le macchine Windows. Tuttavia, secondo una nuova ricerca di Guardicore Labs, gli aggressori dietro la campagna hanno ora migliorato il loro strumento e aggiunto nuove funzionalità che possono impiegare attacchi di brute-force.
“Guardicore Labs ha identificato un nuovo vettore di infezione di questo malware in cui le macchine Windows con connessione a Internet vengono violate attraverso la forza bruta della password SMB”, ha affermato Amit Serper di Guardicore Labs.
Oltre a queste nuove funzionalità di worm, il malware Purple Fox ora include anche un rootkit che consente agli autori delle minacce di nascondere il malware sulla macchina e renderlo difficile da rilevare e rimuovere.
I ricercatori hanno analizzato l’ultima attività di Purple Fox e hanno scoperto cambiamenti significativi nel modo in cui gli aggressori propagano il malware sui computer Windows. Il primo è che il nuovo payload del worm viene eseguito dopo che una macchina vittima è stata compromessa tramite un servizio esposto vulnerabile (come SMB).
Purple Fox sta anche utilizzando una tattica precedente per infettare le macchine con malware attraverso una campagna di phishing, inviando il payload via e-mail per sfruttare una vulnerabilità del browser, hanno osservato i ricercatori.
Una volta che il worm infetta la macchina di una vittima, crea un nuovo servizio per stabilire la persistenza ed eseguire un semplice comando che può iterare attraverso una serie di URL che includono l’MSI per l’installazione di Purple Fox su una macchina compromessa, ha affermato Serper.
“Msiexec verrà eseguito con il flag / i, al fine di scaricare e installare il pacchetto MSI dannoso da uno degli host nella dichiarazione”, spiega. “Verrà eseguito anche con il flag / Q per l’esecuzione ‘silenziosa’, il che significa che non sarà richiesta alcuna interazione da parte dell’utente.”
Una volta eseguito il pacchetto, il programma di installazione MSI verrà avviato impersonando un pacchetto Windows Update insieme al testo cinese, che si traduce approssimativamente in “Windows Update” e lettere casuali. Queste lettere vengono generate casualmente tra ogni diverso programma di installazione MSI per creare un hash diverso e rendere difficile la creazione di collegamenti tra diverse versioni dello stesso MSI.
“Questo è un modo semplice ed ‘economico’ per eludere vari metodi di rilevamento, come le firme statiche”, continua Serper.
I ricercatori hanno osservato che man mano che l’installazione procede, il programma di installazione estrae i payload e li decrittografa dall’interno del pacchetto MSI, attività che include la modifica del firewall di Windows in modo tale da impedire che la macchina infetta venga reinfettata e/o sfruttata da un altro attore della minaccia.
I file estratti vengono quindi eseguiti e viene installato un rootkit, che, ironia della sorte, è stato sviluppato da un ricercatore di sicurezza per mantenere le attività di ricerca sul malware nascoste al malware stesso, che nasconde varie chiavi e valori di registro, file, ecc.
Il programma di installazione quindi riavvia la macchina sia per rinominare la libreria di collegamento dinamico (DLL) del malware in un file DLL di sistema che verrà eseguito all’avvio, sia per eseguire il malware, che inizia immediatamente il suo processo di propagazione. Ciò comporta la generazione di intervalli IP e l’inizio della loro scansione sulla porta 445 per avviare il processo di forzatura bruta, hanno detto i ricercatori.
Se l’autenticazione ha esito positivo, secondo i ricercatori il malware creerà un servizio il cui nome corrisponde all’espressione regolare AC0 [0-9] {1}, ad esempio AC01, AC02, AC05 che scaricherà il pacchetto di installazione MSI da uno dei molti server HTTP che quindi completeranno il ciclo di infezione.
Qui gli indicatori di compromissione (IOC), inclusi i siti di rilascio MSI di Purple Fox e i server di connessione.