Purple Fox, un malware specificatamente studiato per prendere di mira i sistemi Windows – e precedentemente noto per infettare le macchine utilizzando exploit kit e e-mail di phishing – ha ora aggiunto una nuova tecnica al suo arsenale che gli dà capacità di propagazione in stile worm.
Secondo quanto riportato per la prima volta da Guardicore, la campagna in corso fa uso di una nuova tecnica di diffusione attraverso un port scanning indiscriminato e lo sfruttamento dei servizi di Server Message Block (SMB), gli stessi alla base dell’exploit EternalBlue, esposti con password e hash deboli.
Tutto questo si è tradotto in un aumento degli attacchi di circa il 600% dal maggio 2020.
Stando a quanto riportato si sono verificati, infatti, un totale di 90mila incidenti che hanno visto protagonista Purple Fox tra la seconda metà del 2020 e l’inizio del 2021.
Indice degli argomenti
Le origini di Purple Fox e l’impatto del Malware as a Service
Scoperto per la prima volta nel marzo 2018, Purple Fox è distribuito sotto forma di payload dannosi in formato .msi ospitati su quasi 2.000 server Windows compromessi che, a loro volta, scaricano ed eseguono un componente con capacità rootkit che consente ai criminal hacker di nascondere il malware sulla macchina eludendo il rilevamento da parte delle normali soluzioni di sicurezza.
Bisogna comunque far presente che Purple Fox, nonostante le novità, fa comunque parte di una categoria di minacce che hanno risentito della crescita impressionante del Malware as a Service: gli exploit kit.
Purple Fox e il ritorno degli exploit kit
Un exploit kit è un tipo di toolkit che i criminal hacker utilizzano per attaccare le vulnerabilità dei sistemi in modo da poter distribuire malware o eseguire altre attività dannose. Solitamente questi sono confezionati con exploit che possono colpire software comunemente installati come Adobe Flash, Java o Microsoft Silverlight.
Testimonianza della loro “caduta” è il fatto che Purple Fox ha fatto registrare “solo” 90mila incident, quando fino a pochi anni fa gli exploit kit erano tracciati nell’ordine delle decine di milioni.
Detto questo, anche se gli exploit kit possono essere diminuiti in frequenza, non sono ancora fuori dalla partita.
I criminal hacker che ne fanno uso stanno ancora utilizzando le stesse tecniche che coinvolgono i malvertisement o l’inserimento di link in spam diretti verso siti web dannosi o compromessi.
Guardicore stessa sostiene che Purple Fox non è cambiato molto dopo l’exploit, ma dove è mutato è nel suo comportamento da worm, permettendo al malware di diffondersi più rapidamente.
La nuova variante del malware
Come agisce, quindi, Purple Fox nella sua azione di worming?
Raggiunge questo obiettivo entrando in una macchina vittima attraverso un servizio vulnerabile ed esposto come il Server Message Block (SMB), sfruttando il punto d’appoggio iniziale per stabilire la persistenza, scaricare il payload da una rete di server Windows e installare furtivamente il rootkit sull’host.
Una volta infettato, il malware apporta una modifica al firewall di Windows per bloccare più porte di comunicazione (445, 139 e 135), probabilmente nel tentativo di impedire che la macchina infetta sia reinfettata e/o sfruttata da un diverso criminal hacker.
Nella fase successiva, Purple Fox inizia il suo processo di propagazione generando intervalli IP e scannerizzandoli sulla porta 445, utilizzando le sonde per individuare i dispositivi vulnerabili esposti su Internet con password deboli e forzarli per “intrappolare” le macchine in una botnet.
Mentre le botnet sono spesso distribuite da gruppi di criminal hacker per lanciare attacchi di denial-of-network contro i siti web con l’obiettivo di metterli offline, possono anche essere utilizzate per diffondere tutti i tipi di malware, compresi i ransomware, sui computer infetti.
Anche se va detto che in questo caso, non è immediatamente chiaro cosa gli aggressori stiano cercando di ottenere.
Se non altro, il nuovo vettore di infezione è un altro segno che i criminal hacker sono sempre pronti ad evolvere i propri “attrezzi del mestiere”, anche se non all’avanguardia, per cercare di compromettere quante più macchine possibile.
Come difendersi dal malware Purple Fox
I ricercatori di Guardicore Labs hanno pubblicato su GitHub gli IoC del malware: è dunque utile integrarli nei propri sistemi di controllo per essere in grado di identificare e bloccare preventivamente la minaccia.
Ricordiamo, inoltre, che Purple Fox si diffonde principalmente attraverso e-mail di phishing. Per proteggersi da possibili attacchi è dunque importante seguire questi consigli:
- verificare scrupolosamente il testo (formattazione e ortografia) delle e-mail ricevute: un messaggio scritto con un italiano stentato è un chiaro campanello di allarme di un attacco phishing;
- in ambito aziendale, è poi fondamentale prevedere periodiche sessioni di formazione del personale finalizzate a riconoscere i tentativi di phishing e le campagne malspam;
- diffidare da comunicazioni non attese che invitano a dar seguito a link che fanno riferimento a risorse di dubbia legittimità;
- verificare che le pagine web si trovino su domini reali delle aziende e degli enti cui si riferiscono: per farlo, è sufficiente passare con il mouse sui link indicati (senza cliccarci sopra) e verificare nella barra contestuale del client di posta o del browser dove realmente punti l’URL nascosta;
- configurare i propri sistemi di protezione antispam/antimalware per segnalare le e-mail con contenuti potenzialmente dannosi.
Non abbassiamo la guardia!
