Purple Fox

Purple Fox Trojan-downloaderen er en trussel, der har været på radaren fra malware-forskere siden 2018. Indtil videre mener eksperter, at denne trojan har formået at kræve over 30.000 ofre over hele verden. Skaberne af Purple Fox Trojan har opdateret deres trussel og anvender nu RIG Exploit Kit til at injicere deres oprettelse i de målrettede værter. Nyttelasten til Purple Fox Trojan-downloader er ikke længere afhængig af NSIS-installationsværktøjet, men i stedet kommanderer PowerShell. På denne måde har angriberne sørget for at gøre hele operationen mere støjsvage og mindre tilbøjelige til at blive set af forskere eller anti-malware-værktøjer. Purple Fox Trojans operatører har tendens til at bruge den til at plante kryptominingstrusler hovedsageligt på de kompromitterede værter. Denne Trojan-downloader kan dog også bruges til at plante langt mere skadelige trusler. Exploit Kits (EK) har for nylig ikke været blandt de populære cybersikkerhedstrusler. Alligevel forsøger en malware-familie af filøse downloadere, der blev leveret gennem udnyttelsessæt, der tidligere var kendt som Purple Fox, at skabe overskrifter igen. Sidste år blev over 30.000 brugere offer for Purple Fox, mens tidligere på denne måned malwareforskere stødte på en ny variant, der har tilføjet et par flere Microsoft-udnyttelser til sit tidligere arsenal. Hovedmålet med denne malware forbliver, ligesom før, at implementere andre malware-trusler på målsystemer som trojanske heste, Ransomware, crypto minearbejdere og infostjæle. Tidligere blev trusler fra Purple Fox malware-familien leveret af tredjepartsudnyttelsessættet RIG. Siden 2019 skiftede operatørerne af Purple Fox imidlertid til Microsoft PowerShell for at levere og hente malware, hvilket gør denne trussel til en erstatning for RIG EK. Den nye forbedrede variant af Purple Fox kan nu udnytte yderligere to Microsoft-sårbarheder - den første tillader lokal rettighedsforøgelse og hedder CVE-2019-1458; den anden, CVE-2020-0674, er et sikkerhedsgab i Internet Explorer. Skønt begge allerede er blevet patchet, signalerer villigheden for Purple Fox-ejere til at holde sig ajour med nuværende ikke-patchede sårbarheder til malware-forskere, at de stadig skal holde udnyttelsessæt på deres radar.

Udnyttelser brugt af Purple Fox Trojan

Det er sandsynligt, at administratorerne af Purple Fox Trojan-downloaderen muligvis anvender andre formeringsmetoder bortset fra brugen af RIG Exploit Kit . Eksperter mener, at Purple Fox Trojan også kan formeres via malvertiserende kampagner såvel som falske downloads. I øjeblikket kontrollerer RIG Exploit Kit, der bruges til spredning af Purple Fox Trojan, ofrene for flere sårbarheder:

  • VBScript-udnyttelse - CVE-2018-8174.
  • Adobe Flash-udnyttelse - CVE-2018-15982.
  • Internet Explorer-udnyttelse - CVE-2014-6332.
  • Hvis den infiltrerede konto ikke har administratorrettigheder, ser truslen efter CVE-2018-8120 og CVE-2015-1701.

I lighed med tidligere versioner af Purple Fox-downloaderen har denne variant filer med administratorrettigheder, som derefter bruges til at maskere dens eksistens på systemet ved at efterligne lignende filer, der allerede findes på værten, i det tilfælde via ødelagte drivere.

Purple Fox udnytter sårbarheder gennem Microsoft PowerShell

For at udføre sine ondsindede handlinger angriber Purple Fox ikke-patchede sårbarheder for at køre PowerShell og downloade yderligere malware på utilstrækkeligt beskyttede systemer. Et sådant angreb initieres typisk, når en bruger besøger et beskadiget websted, der er blevet injiceret med Purple Fox ondsindet script. Malwaren registrerer de sårbarheder, den har brug for for at kompromittere systemet og infiltrerede derefter målmaskinen, mens brugeren stadig er på det givne websted. Normalt lander brugere på sådanne farlige sider efter at være omdirigeret af ondsindede annoncer eller spam-e-mails. Når infektionen er sket ved at udnytte CVE-2020-0674 Windows-sårbarheden, retter Purple Fox sig mod "jscript.dll" -biblioteket, som bruges af computerens webbrowser. Derefter udtrækker malware en adresse fra RegExp i dette bibliotek, finder jscript.dll PE-overskriften og lokaliserer derefter importdekryptoren ved hjælp af hvilken Purple Fox har indlæst sin shellcode på maskinen. Denne shellcode finder derefter WinExec og opretter en proces, der starter den aktuelle malwareudførelse. Derefter bruger Purple Fox sine rootkit-funktioner til at skjule sine registreringsdatabase poster og filer efter et system genstart. Forskere har observeret, at Purple Fox muliggør sine rootkit-komponenter ved at misbruge en open source-kode, som hjælper malware med at skjule sin DLL og forhindre reverse engineering.

Du kan undgå Purple Fox

Det er klart, at brugere kan undgå at blive offer for Purple Fox malware og andre lignende udnyttelsessæt ved at følge nogle enkle tip. Den første ville være at altid holde deres Windows-system opdateret ved at installere de nyeste programrettelser til kendte sårbarheder. Overvågning og begrænsning af privilegier til administratorværktøjer vil gøre det muligt at håndhæve princippet om mindst privilegium. En professionel anti-malware-løsning, der tilbyder avancerede lag af sikkerhed, vil også være i stand til at afvæbne trusler som Purple Fox. Brugere skal begynde at tage cybersikkerhed mere seriøst. En af de mest almindelige anbefalinger fra malware-forskere er at holde al din software opdateret. Desværre finder de fleste brugere online dette for meget kedelig. Men hvis alle dine applikationer er opdaterede, vil en trussel som Purple Fox Trojan-downloaderen ikke være i stand til at infiltrere dit system, da det er afhængigt af sårbarheder, der findes i forældet software. Sørg også for, at der findes en legitim anti-malware-løsning, som hjælper dig med at opdage og fjerne eventuelle uønskede applikationer.

Relaterede indlæg

Trending

Mest sete

Indlæser...