Purple Fox Malware zielt auf Windows-Rechner mit neuen Wurm-Fähigkeiten

Cyber Security News

Ein neuer Infektionsvektor der etablierten Malware gefährdet mit dem Internet verbundene Windows-Systeme durch SMB Password Brute-Forcing.

Eine Malware, die in der Vergangenheit über Phishing und Exploit-Kits auf ungeschützte Windows-Rechner abzielte, wurde umgerüstet, um neue “Wurm”-Funktionen hinzuzufügen.

Purple Fox, der erstmals 2018 auftauchte, ist eine aktive Malware-Kampagne, die bis vor kurzem eine Benutzerinteraktion oder eine Art Drittanbieter-Tool erforderte, um Windows-Rechner zu infizieren. Die Angreifer, die hinter der Kampagne stehen, haben jedoch jetzt ihr Spiel aufgerüstet und neue Funktionen hinzugefügt, die sich mit Brute-Force-Methoden selbstständig in die Systeme der Opfer einschleusen können, wie eine neue Studie von Guardicore Labs am Dienstag ergab.

“Guardicore Labs hat einen neuen Infektionsvektor dieser Malware identifiziert, bei dem Windows-Rechner mit Internetanschluss durch SMB-Passwort-Brute-Force angegriffen werden”, so Amit Serper von Guardicore Labs.

Zusätzlich zu diesen neuen Wurm-Fähigkeiten enthält die Purple Fox-Malware jetzt auch ein Rootkit, das es den Bedrohungsakteuren ermöglicht, die Malware auf dem Rechner zu verstecken und sie schwer zu erkennen und zu entfernen, sagte er.

Neuester Angriffsvektor

Forscher analysierten die neuesten Aktivitäten von Purple Fox und fanden zwei wesentliche Änderungen in der Art und Weise, wie Angreifer Malware auf Windows-Rechnern verbreiten. Die erste ist, dass die neue Wurm-Nutzlast ausgeführt wird, nachdem ein Opfercomputer über einen anfälligen exponierten Dienst (wie SMB) kompromittiert wurde.

Purple Fox nutzt auch eine frühere Taktik, um Rechner über eine Phishing-Kampagne mit Malware zu infizieren, indem er die Nutzlast per E-Mail versendet, um eine Browser-Schwachstelle auszunutzen, so die Forscher.

Sobald der Wurm den Rechner eines Opfers infiziert hat, erstellt er einen neuen Dienst, um Persistenz herzustellen und einen einfachen Befehl auszuführen, der durch eine Reihe von URLs iterieren kann, die das MSI für die Installation von Purple Fox auf einem kompromittierten Rechner enthalten, so Serper.

“msiexec wird mit dem /i-Flag ausgeführt, um das bösartige MSI-Paket von einem der in der Anweisung genannten Hosts herunterzuladen und zu installieren”, erklärte er. “Es wird auch mit dem /Q-Flag für eine ‘stille’ Ausführung ausgeführt, was bedeutet, dass keine Benutzerinteraktion erforderlich ist.”

Sobald das Paket ausgeführt wird, startet das MSI-Installationsprogramm, indem es sich als Windows Update-Paket ausgibt, zusammen mit chinesischem Text, der grob mit “Windows Update” übersetzt wird, und zufälligen Buchstaben, sagte er. Diese Buchstaben werden nach dem Zufallsprinzip zwischen den verschiedenen MSI-Installationsprogrammen generiert, um einen unterschiedlichen Hash zu erzeugen und es schwierig zu machen, Verknüpfungen zwischen verschiedenen Versionen desselben MSI zu erstellen.

“Dies ist ein ‘billiger’ und einfacher Weg, um verschiedene Erkennungsmethoden, wie statische Signaturen, zu umgehen”, schrieb Serper.

Im weiteren Verlauf der Installation extrahiert der Installer die Nutzdaten und entschlüsselt sie aus dem MSI-Paket, eine Aktivität, die die Windows-Firewall so modifiziert, dass der infizierte Rechner nicht erneut infiziert und/oder von einem anderen Bedrohungsakteur ausgenutzt werden kann, so die Forscher.

Die extrahierten Dateien werden dann ausgeführt und ein Rootkit – das “ironischerweise” von einem Sicherheitsforscher entwickelt wurde, um Malware-Forschungsaufgaben vor der Malware selbst zu verbergen – wird installiert, das verschiedene Registrierungsschlüssel und -werte, Dateien usw. verbirgt, so Serper.

Das Installationsprogramm startet dann den Rechner neu, um sowohl die Malware Dynamic Link Library (DLL) in eine System-DLL-Datei umzubenennen, die beim Booten ausgeführt wird, als auch um die Malware auszuführen, die sofort mit ihrer Verbreitung beginnt. Dies beinhaltet das Generieren von IP-Bereichen und den Beginn des Scans auf Port 445, um den Brute-Forcing-Prozess zu starten, so die Forscher.

Wenn die Authentifizierung erfolgreich ist, erstellt die Malware einen Dienst, der das MSI-Installationspaket von einem der vielen verwendeten HTTP-Server herunterlädt, wodurch die Infektionsschleife abgeschlossen wird, so die Forscher.

Vorherige Purple Fox-Aktivität

Forscher haben fast 3.000 Server identifiziert, die zuvor von den Akteuren hinter Purple Fox kompromittiert wurden und die sie zum Hosten ihrer Dropper und bösartigen Payloads wiederverwendet haben, so Serper.

[Blocked Image: https://alltechnews.de/daten/2021/03/Purple-Fox-Malware-zielt-auf-Windows-Rechner-mit-neuen-Wurm-Faehigkeiten.png]

Vorfälle mit der Malware Purple Fox. Kredit: Guardicore Labs

“Wir haben festgestellt, dass die überwiegende Mehrheit der Server, die die ursprüngliche Nutzlast liefern, auf relativ alten Versionen von Windows Server mit IIS Version 7.5 und Microsoft FTP laufen, die bekanntermaßen mehrere Schwachstellen mit unterschiedlichem Schweregrad aufweisen”, schrieb er.

Purple Fox wurde zuletzt im Frühjahr und Sommer letzten Jahres bei signifikanten bösartigen Aktivitäten gesehen, wobei die Aktivität gegen Ende des Jahres leicht abfiel und dann Anfang 2021 wieder anstieg, so die Forscher. Seit Mai 2020 stiegen die Infektionen um etwa 600 Prozent auf insgesamt 90.000 Angriffe zum Zeitpunkt der Veröffentlichung, so die Forscher.

Im vergangenen Juli beispielsweise fügte das Exploit-Kit (EK) Purple Fox seiner Trickkiste zwei neue Exploits hinzu, die auf kritische und hochgradig gefährliche Microsoft-Schwachstellen abzielen. Damals sagten die Forscher, dass sie erwarten, dass die Angreifer auch in Zukunft neue Funktionen hinzufügen werden.

Purple Fox ist nur die jüngste Malware, die mit “Wurm”-Funktionen aufgerüstet wurde – andere Malware-Familien wie die Rocke Group und die Ryuk-Ransomware haben ebenfalls Selbstverbreitungsfunktionalitäten hinzugefügt.

Registrieren Sie sich für diese LIVE-Veranstaltung: 0-Day Disclosures: Good, Bad & Ugly: Am 24. März um 14 Uhr ET befasst sich Threatpost damit, wie Schwachstellen-Enthüllungen ein Risiko für Unternehmen darstellen können. Diskutiert werden sollen Microsoft 0-Days, die in Exchange-Servern gefunden wurden. Schließen Sie sich den 0-Day-Jägern von Intel Corp. und erfahrenen Bug-Bounty-Forschern an, die die 0-Day-Ökonomie entwirren und auspacken werden, was für alle Unternehmen auf dem Spiel steht, wenn es um den Offenlegungsprozess geht. Registrieren Sie sich JETZT für dieses LIVE-Webinar am Mi., 24. März.

Einige Teile dieses Artikels stammen aus:
threatpost.com