Purple Fox Rootkit kann sich nun auch auf andere Windows-Computer ausbreiten

Cyber Security News

Purple Fox, eine Windows-Malware, die bisher dafür bekannt war, Rechner mit Hilfe von Exploit-Kits und Phishing-E-Mails zu infizieren, hat nun eine neue Technik in ihr Arsenal aufgenommen, die ihr wurmartige Verbreitungsmöglichkeiten verleiht.

Die laufende Kampagne nutzt eine “neuartige Verbreitungsmethode über wahlloses Port-Scanning und die Ausnutzung offener SMB-Dienste mit schwachen Passwörtern und Hashes”, so die Forscher von Guardicore, die sagen, dass die Angriffe seit Mai 2020 um etwa 600 % zugenommen haben.

Für den Rest des Jahres 2020 und den Beginn des Jahres 2021 wurden insgesamt 90.000 Vorfälle festgestellt.

Purple Fox wurde erstmals im März 2018 entdeckt und wird in Form von bösartigen “.msi”-Payloads verbreitet, die auf fast 2.000 kompromittierten Windows-Servern gehostet werden, die wiederum eine Komponente mit Rootkit-Funktionen herunterladen und ausführen, die es den Bedrohungsakteuren ermöglicht, die Malware auf dem Rechner zu verstecken und der Erkennung leicht zu entgehen.

Laut Guardicore hat sich Purple Fox nach der Exploitation nicht wesentlich verändert, wohl aber sein wurmartiges Verhalten, wodurch sich die Malware schneller verbreiten kann.

[Blocked Image: https://thehackernews.com/images/-2T9dGj1bigs/YFrZn384EZI/AAAAAAAACFw/S_EMVoS2AfENVfqsankjIufldDH6Z1lTACLcBGAsYHQ/s0/hacker.jpg]

Sie erreicht dies, indem sie über einen anfälligen, exponierten Dienst wie Server Message Block (SMB) in einen Opfercomputer eindringt, die anfängliche Position ausnutzt, um Persistenz herzustellen, die Nutzlast aus einem Netzwerk von Windows-Servern zu ziehen und das Rootkit heimlich auf dem Host zu installieren.

Sobald die Malware infiziert ist, blockiert sie mehrere Ports (445, 139 und 135), wahrscheinlich um zu verhindern, dass der infizierte Rechner erneut infiziert wird und/oder von einem anderen Bedrohungsakteur ausgenutzt werden kann”, erklärt Amit Serper, der neue Vice President of Security Research für Nordamerika bei Guardicore.

In der nächsten Phase beginnt Purple Fox seinen Ausbreitungsprozess, indem er IP-Bereiche generiert und diese auf Port 445 scannt. Er nutzt die Sonden, um anfällige Geräte im Internet mit schwachen Passwörtern auszusuchen und diese mit Brute-Force zu erzwingen, um die Maschinen in ein Botnet zu verwickeln.

Botnets werden zwar häufig von Bedrohungsakteuren eingesetzt, um Denial-of-Network-Angriffe gegen Websites zu starten, mit dem Ziel, diese offline zu schalten, sie können aber auch verwendet werden, um alle Arten von Malware, einschließlich dateiverschlüsselnder Ransomware, auf den infizierten Computern zu verbreiten, obwohl in diesem Fall nicht sofort klar ist, was die Angreifer erreichen wollen.

Wenn überhaupt, dann ist der neue Infektionsvektor ein weiteres Zeichen dafür, dass die kriminellen Betreiber ihre Malware-Verbreitungsmechanismen ständig umrüsten, um ein weites Netz auszuwerfen und so viele Rechner wie möglich zu infizieren. Details zu den mit der Kampagne verbundenen Kompromittierungsindikatoren (Indicators of Compromise, IoCs) können hier abgerufen werden.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com