Le malware Purple Fox se fraie un chemin dans les systèmes Windows

0

Purple Fox, un malware précédemment distribué via des kits d’exploitation et des e-mails d’hameçonnage, a maintenant ajouté un module de ver qui lui permet de scanner et d’infecter les systèmes Windows accessibles sur Internet.

Le malware est livré avec des capacités de rootkit et de porte dérobée, il a été repéré pour la première fois en 2018 après avoir infecté au moins 30 000 appareils, et est utilisé comme un téléchargeur pour déployer d’autres souches de logiciels malveillants.

Le module de kit d’exploitation de Purple Fox a également ciblé les systèmes Windows dans le passé [1, 2] pour infecter les utilisateurs de Windows via leurs navigateurs Web après avoir exploité des vulnérabilités de corruption de la mémoire et d’élévation de privilège.

À partir de Mai 2020, les attaques de Purple Fox se sont considérablement intensifiées, atteignant un total de 90 000 attaques et 600 % d’infections en plus, selon les chercheurs en sécurité de Guardicore Labs.

purple fox

Les appareils Windows exposés à Internet sont concernés

Les tentatives actives de numérisation et d’exploitation des ports du malware ont commencé à la fin de l’année dernière en se basant sur la télémétrie collectée à l’aide du Guardicore Global Sensors Network (GGSN).

Après avoir découvert un système Windows exposé tout en scannant les appareils accessibles sur Internet, le module de ver nouvellement ajouté de Purple Fox utilise la force brute sur le mot de passe SMB pour l’infecter.

Jusqu’à présent, Purple Fox a déployé ses droppers et modules supplémentaires sur un vaste réseau de bots, une armée de près de 2000 serveurs compromis, selon le rapport de Guardicore Labs.

Les appareils pris au piège dans ce botnet incluent les machines Windows Server utilisant la version IIS 7.5 et Microsoft FTP, ainsi que les serveurs exécutant Microsoft RPC, Microsoft Server SQL Server 2008 R2, et Microsoft HTTPAPI httpd 2.0, et Microsoft Terminal Service.

Alors que la nouvelle fonctionnalité de ver de Purple Fox lui permet d’infecter les serveurs en utilisant la force brute via des services de SMB vulnérables exposés à Internet, il utilise également des campagnes d’hameçonnage et des vulnérabilités de navigateur Web pour déployer ses charges utiles.

« Tout au long de nos recherches, nous avons observé une infrastructure qui semble être faite à partir d’un ensemble de serveurs vulnérables et exploités hébergeant la charge utile initiale du malware, les machines infectées qui servent de nœuds de ces campagnes de ver, et une infrastructure de serveur qui semble être liée à d’autres campagnes de logiciels malveillants », ont déclaré Serper et Harpaz.

purple fox

Un rootkit open-source utilisé pour obtenir la persistance

Avant de redémarrer les périphériques infectés et de gagner en persistance, Purple Fox installe également un module rootkit qui utilise le rootkit open source caché pour masquer les fichiers et dossiers abandonnés ou les entrées du registre Windows créées sur les systèmes infectés.

Après avoir déployé le rootkit et redémarrer l’appareil, le malware renommera sa charge utile DLL pour correspondre à un DLL système de Windows et le configurera pour être lancé au démarrage du système.

Une fois que le malware est exécuté au lancement du système, chacun des systèmes infectés montrera par la suite le même comportement de er, en scannant en permanence l’Internet la recherche d’autres cibles et en essayant de les compromettre et de les ajouter au botnet.

« Comme la machine répond à la sonde SMB qui est envoyé sur le port 445, il va essayer de s’authentifier à SMB en utilisant la force brute sur les noms d’utilisateur et les mots de passe ou en essayant d’établir une session nulle », conclut Guardicore Labs.

« Si l’authentification est réussie, le malware va créer un service dont le nom correspond à la regex AC0[0-9]{1} – par exemple AC01, AC02, AC05 (comme mentionné précédemment) qui téléchargera le paquet d’installation MSI à partir de l’un des nombreux serveurs HTTP et ainsi compléter la boucle d’infection. »

Les indicateurs de compromis sont disponibles dans ce référentiel GitHub.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.