Purple Fox

Purple Fox Descrizione

Il downloader del Trojan Purple Fox è una minaccia che è stata sul radar dei ricercatori di malware dal 2018. Finora, gli esperti ritengono che questo Trojan sia riuscito a mietere oltre 30.000 vittime in tutto il mondo. I creatori del Purple Fox Trojan hanno aggiornato la loro minaccia e ora stanno impiegando il RIG Exploit Kit per iniettare la loro creazione negli host mirati. Il payload del downloader del Trojan Purple Fox non dipende più dallo strumento di installazione NSIS, ma dai comandi PowerShell. In questo modo, gli aggressori si sono assicurati di rendere l'intera operazione più silenziosa e con meno probabilità di essere individuati da ricercatori o strumenti anti-malware. Gli operatori del Purple Fox Trojan tendono a usarlo per piantare minacce di cripto-mining principalmente sugli host compromessi. Tuttavia, questo downloader Trojan può essere utilizzato anche per piantare minacce molto più dannose. Gli exploit kit (EK) non sono stati recentemente tra le minacce alla sicurezza informatica di tendenza. Tuttavia, una famiglia di malware di downloader senza file forniti tramite kit di exploit noti in passato come Purple Fox sta ora cercando di fare di nuovo notizia. L'anno scorso, oltre 30.000 utenti sono diventati vittime di Purple Fox, mentre all'inizio di questo mese, i ricercatori di malware si sono imbattuti in una nuova variante che ha aggiunto alcuni altri exploit Microsoft al suo precedente arsenale. L'obiettivo principale di questo malware rimane, proprio come prima, distribuire altre minacce malware sui sistemi di destinazione, come Trojan, Ransomware, cripto miner e ladri di informazioni. In precedenza, le minacce della famiglia di malware Purple Fox venivano fornite dal kit di exploit di terze parti RIG. Dal 2019, tuttavia, gli operatori di Purple Fox sono passati a Microsoft PowerShell per fornire e recuperare malware, rendendo questa minaccia una sostituzione del RIG EK. La nuova variante ampliata di Purple Fox può ora sfruttare due ulteriori vulnerabilità Microsoft: la prima consente l'elevazione dei privilegi locali ed è denominata CVE-2019-1458; il secondo, CVE-2020-0674, è una falla di sicurezza in Internet Explorer. Sebbene entrambi siano già stati aggiornati, la volontà dei proprietari di Purple Fox di rimanere aggiornati sulle attuali vulnerabilità prive di patch segnala ai ricercatori di malware che dovrebbero comunque tenere i kit di exploit sul loro radar.

Exploit utilizzati dal Purple Fox Trojan

È probabile che gli amministratori del downloader del Trojan Purple Fox possano utilizzare altri metodi di propagazione, oltre all'uso del RIG Exploit Kit . Gli esperti ritengono che il Purple Fox Trojan possa anche essere propagato tramite campagne di malvertising, oltre a download fasulli. Attualmente, il RIG Exploit Kit utilizzato nella diffusione del Purple Fox Trojan sta controllando le vittime per diverse vulnerabilità:

  • Exploit VBScript - CVE-2018-8174.
  • Exploit di Adobe Flash - CVE-2018-15982.
  • Exploit di Internet Explorer - CVE-2014-6332.
  • Se l'account infiltrato non dispone delle autorizzazioni di amministratore, la minaccia cercherà CVE-2018-8120 e CVE-2015-1701.

Simile alle versioni precedenti del downloader Purple Fox, questa variante ha file con privilegi di amministratore, che vengono poi utilizzati per mascherarne l'esistenza sul sistema imitando file simili già presenti sull'host, nell'istanza, tramite driver corrotti.

Purple Fox sfrutta le vulnerabilità tramite Microsoft PowerShell

Per condurre le sue azioni dannose, Purple Fox attacca le vulnerabilità prive di patch per eseguire PowerShell e scaricare malware aggiuntivo su sistemi non sufficientemente protetti. Tale attacco viene in genere avviato quando un utente visita un sito Web danneggiato a cui è stato iniettato uno script dannoso di Purple Fox. Il malware rileva le vulnerabilità di cui ha bisogno per compromettere il sistema e quindi si è infiltrato nel computer di destinazione mentre l'utente è ancora sul sito Web specificato. In genere, gli utenti accedono a tali pagine pericolose dopo essere stati reindirizzati da annunci dannosi o e-mail di spam. Quando l'infezione si è verificata sfruttando la vulnerabilità di Windows CVE-2020-0674, Purple Fox prende di mira la libreria "jscript.dll", che viene utilizzata dal browser web del computer. Quindi, il malware estrae un indirizzo da RegExp in quella libreria, trova l'intestazione PE jscript.dll e quindi individua il decryptor di importazione con l'aiuto del quale Purple Fox ha caricato il proprio codice shell sulla macchina. Questo shellcode trova quindi WinExec e crea un processo che avvia l'effettiva esecuzione del malware. Quindi, Purple Fox utilizza le sue capacità di rootkit per nascondere le sue voci di registro e file dopo un riavvio del sistema. I ricercatori hanno osservato che Purple Fox abilita i suoi componenti rootkit abusando di un codice open source, che aiuta il malware a nascondere la sua DLL e prevenire il reverse engineering.

Puoi evitare la volpe viola

Ovviamente, gli utenti possono evitare di cadere vittime del malware Purple Fox e di altri kit di exploit simili seguendo alcuni semplici suggerimenti. Il primo sarebbe quello di mantenere sempre aggiornato il proprio sistema Windows installando le ultime patch per le vulnerabilità note. Il monitoraggio e la limitazione dei privilegi agli strumenti dell'amministratore consentirebbero di applicare il principio del privilegio minimo. Inoltre, una soluzione anti-malware professionale che offre livelli avanzati di sicurezza sarà in grado di disarmare minacce come Purple Fox. Gli utenti devono iniziare a prendere più seriamente la sicurezza informatica. Uno dei consigli più comuni dei ricercatori di malware è di mantenere aggiornato tutto il software. Sfortunatamente, la maggior parte degli utenti online ritiene che questo sia un compito troppo noioso. Tuttavia, se tutte le tue applicazioni sono aggiornate, una minaccia come il downloader del Trojan Purple Fox non sarà in grado di infiltrarsi nel tuo sistema poiché si basa sulle vulnerabilità trovate in software obsoleti. Inoltre, assicurati che sia presente una soluzione anti-malware legittima, che ti aiuterà a rilevare e rimuovere eventuali applicazioni indesiderate.

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".


HTML non è consentito.