Purple Fox Malware apunta a Windows con nuevas capacidades de gusano
marzo 25, 2021Un nuevo vector de infección del malware pone en riesgo los sistemas Windows de Internet frente a la fuerza bruta de contraseñas SMB. Un malware que históricamente se ha dirigido a máquinas Windows expuestas a través de phishing y kits de explotación se ha rediseñado para agregar nuevas capacidades de “gusano”. Purple Fox, que apareció […]
Un nuevo vector de infección del malware pone en riesgo los sistemas Windows de Internet frente a la fuerza bruta de contraseñas SMB.
Un malware que históricamente se ha dirigido a máquinas Windows expuestas a través de phishing y kits de explotación se ha rediseñado para agregar nuevas capacidades de “gusano”.
Purple Fox, que apareció por primera vez en 2018, es una campaña de malware activa que hasta hace poco requería la interacción del usuario o algún tipo de herramienta de terceros para infectar máquinas con Windows. Sin embargo, los atacantes detrás de la campaña ahora han mejorado su juego y agregado una nueva funcionalidad que puede abrirse paso por la fuerza bruta en los sistemas de las víctimas por sí sola, según una nueva investigación del martes de Guardicore Labs.
Según el investigador de Guardicore, Amit Serper, los operadores de Purple Fox utilizaron principalmente kits de explotación y correos electrónicos de phishing para construir redes de bots para cripto-minería y otros usos nefastos.
Ahora, el nuevo método de fuerza bruta SMB se está combinando con capacidades de rootkit para esconderse y diseminarse ampliamente en computadoras Windows con acceso a Internet con contraseñas débiles.
El equipo de Serper en Guardicore advirtió que los atacantes están alojando varios paquetes MSI en casi 2000 servidores, la mayoría de los cuales son máquinas comprometidas que fueron reutilizadas para albergar cargas útiles maliciosas.
“Hemos establecido que la gran mayoría de los servidores, que sirven la carga útil inicial, se ejecutan en versiones relativamente antiguas de Windows Server que ejecutan IIS versión 7.5 y Microsoft FTP, que se sabe que tienen múltiples vulnerabilidades con diferentes niveles de gravedad”, Guardicore dijo en una publicación de blog técnica.
La compañía descubrió que la campaña se propaga a través de dos mecanismos distintos: una carga útil de gusano después de que una máquina víctima se ve comprometida a través de un servicio expuesto vulnerable (como SMB); o la carga útil del gusano se envía por correo electrónico a través de una campaña de phishing.
