Le kit d’exploits Purple Fox ajoute 2 exploits à son arsenal

Le kit d’exploits Purple Fox a ajouté deux nouveaux exploits à son arsenal qui ciblent des vulnérabilités critiques de Microsoft. Les chercheurs en sécurité informatique ont déclaré qu’ils s’attendent à ce que davantage d’attaques soient ajoutées à l’avenir.

Le kit d’exploits Purple Fox avait déjà été analysé en Septembre 2019, lorsque les chercheurs ont déclaré qu’il semblait avoir été créé pour remplacer le kit d’exploits Rig dans la chaîne de distribution du logiciel malveillant Purple Fox, qui est un cheval de Troie/rootkit. La dernière amélioration du kit d’exploit a ajouté des attaques contre les failles CVE-2020-0674 et CVE-2019-1458, qui ont été révélées pour la première fois fin 2019 et début 2020. Purple Fox utilisait auparavant des exploits ciblant des failles Microsoft plus anciennes, notamment CVE-2018-8120 et CVE-2015-1701.

«Cela nous indique que les auteurs de Purple Fox restent à jour sur les vulnérabilités exploitables et mettent le malware à niveau lorsque c’est possible», ont déclaré des chercheurs de Proofpoint dans une analyse. “Il faut s’attendre à ce qu’ils continuent de se mettre à jour à mesure que de nouvelles vulnérabilités sont découvertes.”

purple fox

CVE-2020-0674 est une vulnérabilité critique de corruption de mémoire du moteur de script dans Internet Explorer, qui a été révélée par Microsoft dans un avis de sécurité en Janvier 2020. La faille pourrait corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel – ce qui signifie qu’un adversaire pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. La faille a ensuite été corrigée dans le cadre de la publication du Patch Tuesday de février 2020. Depuis lors, une analyse plus approfondie de la faille a été publiée et un code de preuve de concept (PoC) a aussi été publié, ont déclaré les chercheurs.

CVE-2019-1458, quant à elle, est une vulnérabilité d’élévation de privilèges de haute gravité dans Win32k, qui a un exploit zero-day circulant dans la nature (utilisé dans plusieurs attaques, y compris l’opération WizardOpium). L’exploit permet aux attaquants d’obtenir des privilèges plus élevés sur la machine attaquée et d’éviter les mécanismes de protection dans le navigateur Google Chrome. La faille a un score CVSS de 7,8 sur 10 et a été corrigée par Microsoft dans le cadre de son Patch Tuesday de Décembre 2019.

Purple Fox

Les chercheurs ont découvert une campagne de publicité malveillante à la fin du mois de juin qui utilisait le kit d’exploits Purple Fox, exploitant avec succès Internet Explorer 11 via CVE-2020-0674 sous Windows 10. L’exploit utilisé pour CVE-2020-0674 cible l’utilisation de jscript.dll, une bibliothèque requis pour que Windows fonctionne. Au début du processus d’exploitation, le script malveillant tente de divulguer une adresse de l’implémentation RegExp dans jscript.dll.

Avec cette adresse divulguée, le code JavaScript malveillant recherche ensuite l’en-tête PE(Portable Executable) de jscript.dll, puis utilise cet en-tête pour localiser un descripteur d’importation pour kernel32.dll. Ce dernier contient les fonctions de manipulation de processus et de mémoire requises pour que le kit d’exploits charge le shellcode.

“La fonction GetModuleHandleA est utilisée pour obtenir le nom du module en cours d’exécution”, ont déclaré les chercheurs. «Ce nom est utilisée avec GetProcAddress pour localiser VirtualProtect, qui est à son tour utilisé pour activer les autorisations ‘lire, écrire, exécuter'(RWX) sur le shellcode. Enfin, le shellcode est déclenché en appelant une implémentation écrasée de RegExp::test. »

Le shellcode localise ensuite WinExec pour créer un nouveau processus qui commence l’exécution réelle du malware.

Le futur des kits d’exploits

Bien que les kits d’exploit ne soient pas aussi populaires qu’ils l’étaient il y a quelques années, les chercheurs soulignent qu’ils font toujours partie du paysage des menaces informatiques, avec des kits d’exploits comme Fallout et Rig qui sont continuellement mis à jours.

“Une chose qui n’a pas changé en ce qui concerne les kits d’exploit est la manière dont les auteurs de kits d’exploit se mettent régulièrement à niveau pour inclure de nouvelles attaques contre les vulnérabilités récemment découvertes”, ont déclaré les chercheurs.

malware

En créant leur propre kit d’exploits pour la distribution, les auteurs du malware Purple Fox ont pu économiser de l’argent en ne payant plus pour le kit d’exploits Rig. Cela montre que les attaquants à l’origine du malware Purple Fox adoptent une «approche professionnelle» en cherchant à économiser de l’argent et à maintenir leur produit à jour.

“Le fait que les auteurs du malware Purple Fox aient cessé d’utiliser le kit d’exploits RIG et aient décidé de créer leur propre kit d’exploits pour distribuer leur malware nous rappelle que le malware est une industrie”, ont déclaré les chercheurs. «Les auteurs du logiciel malveillant Purple Fox ont décidé d’apporter un développement ‘en interne’ pour réduire les coûts, comme le font de nombreuses entreprises légitimes. Avoir le mécanisme de distribution ‘en interne’ permet également un meilleur contrôle sur ce que le kit d’exploits fait réellement. »