Purple Fox

Purple Fox Beschrijving

De Purple Fox Trojan-downloader is een bedreiging die sinds 2018 op de radar van malwareonderzoekers staat. Deskundigen denken tot nu toe dat deze Trojan wereldwijd meer dan 30.000 slachtoffers heeft gemaakt. De makers van de Purple Fox Trojan hebben hun dreiging bijgewerkt en gebruiken nu de RIG Exploit Kit om hun creatie in de beoogde hosts te injecteren. De payload van de Purple Fox Trojan-downloader is niet langer afhankelijk van de NSIS-installatietool, maar van PowerShell-opdrachten. Op deze manier hebben de aanvallers ervoor gezorgd dat de hele operatie stiller is en minder snel wordt opgemerkt door onderzoekers of anti-malwaretools. De operators van de Purple Fox Trojan gebruiken het meestal om cryptomining-bedreigingen op de gecompromitteerde hosts te plaatsen. Deze Trojan-downloader kan echter ook worden gebruikt voor het planten van veel schadelijkere bedreigingen. Exploit Kits (EK) behoorden de laatste tijd niet tot de trending cyberbeveiligingsbedreigingen. Toch probeert een malwarefamilie van bestandsloze downloaders, geleverd via exploitkits die in het verleden bekend stonden als Purple Fox, nu weer de krantenkoppen te halen. Vorig jaar werden meer dan 30.000 gebruikers het slachtoffer van Purple Fox, terwijl eerder deze maand malwareonderzoekers een nieuwe variant tegenkwamen die nog een paar Microsoft-exploits aan zijn vorige arsenaal heeft toegevoegd. Het belangrijkste doel van deze malware blijft, net als voorheen, om andere malwarebedreigingen op doelsystemen in te zetten, zoals Trojaanse paarden, Ransomware, cryptomijnwerkers en informatiedeelnemers. Eerder werden bedreigingen van de Purple Fox-malwarefamilie geleverd door de externe exploitkit RIG. Sinds 2019 zijn de operators van Purple Fox echter overgestapt op Microsoft PowerShell om malware te leveren en op te halen, waardoor deze dreiging een vervanging is voor de RIG EK. De nieuwe opgefokte variant van Purple Fox kan nu gebruikmaken van twee extra Microsoft-kwetsbaarheden - de eerste maakt het mogelijk om lokale bevoegdheden te verhogen en heet CVE-2019-1458; de tweede, CVE-2020-0674, is een beveiligingsgat in Internet Explorer. Hoewel beide al zijn gepatcht, signaleert de bereidheid van eigenaren van Purple Fox om op de hoogte te blijven van de huidige niet-gepatchte kwetsbaarheden aan malware-onderzoekers dat ze nog steeds exploitkits op hun radar moeten houden.

Exploits gebruikt door de Purple Fox Trojan

Het is waarschijnlijk dat de beheerders van de Purple Fox Trojan-downloader andere propagatiemethoden gebruiken, afgezien van het gebruik van de RIG Exploit Kit . Deskundigen zijn van mening dat de Purple Fox-trojan ook kan worden verspreid via malvertisingcampagnes en nepdownloads. Momenteel controleert de RIG Exploit Kit die wordt gebruikt bij de verspreiding van de Purple Fox Trojan de slachtoffers op verschillende kwetsbaarheden:

  • VBScript-exploit - CVE-2018-8174.
  • Adobe Flash-exploit - CVE-2018-15982.
  • Internet Explorer-exploit - CVE-2014-6332.
  • Als het geïnfiltreerde account geen beheerdersrechten heeft, zoekt de dreiging naar CVE-2018-8120 en CVE-2015-1701.

Net als bij eerdere versies van de Purple Fox-downloader, heeft deze variant bestanden met beheerdersrechten, die vervolgens worden gebruikt om het bestaan ervan op het systeem te maskeren door soortgelijke bestanden die al op de host aanwezig zijn, na te bootsen via beschadigde stuurprogramma's.

Purple Fox maakt misbruik van kwetsbaarheden via Microsoft PowerShell

Om zijn kwaadaardige acties uit te voeren, valt Purple Fox ongepatchte kwetsbaarheden aan om PowerShell uit te voeren en aanvullende malware te downloaden op onvoldoende beschermde systemen. Een dergelijke aanval wordt meestal gestart wanneer een gebruiker een beschadigde website bezoekt die is geïnjecteerd met het schadelijke Purple Fox-script. De malware detecteert de kwetsbaarheden die nodig zijn om het systeem te compromitteren en infiltreert vervolgens de doelcomputer terwijl de gebruiker zich nog op de betreffende website bevindt. Meestal komen gebruikers op dergelijke gevaarlijke pagina's terecht nadat ze zijn omgeleid door kwaadaardige advertenties of spam-e-mails. Wanneer de infectie is gebeurd door misbruik te maken van de Windows-kwetsbaarheid CVE-2020-0674, richt Purple Fox zich op de "jscript.dll" -bibliotheek, die wordt gebruikt door de webbrowser van de computer. Vervolgens extraheert de malware een adres uit RegExp in die bibliotheek, vindt de jscript.dll PE-header en lokaliseert vervolgens de importdecryptor met behulp waarvan Purple Fox zijn shellcode op de machine heeft geladen. Deze shellcode vindt vervolgens WinExec en creëert een proces dat de daadwerkelijke uitvoering van malware start. Vervolgens gebruikt Purple Fox zijn rootkit-mogelijkheden om zijn registervermeldingen en bestanden te verbergen nadat het systeem opnieuw is opgestart. Onderzoekers hebben opgemerkt dat Purple Fox zijn rootkit-componenten mogelijk maakt door misbruik te maken van een open-sourcecode, die de malware helpt zijn DLL te verbergen en reverse-engineering te voorkomen.

Je kunt Purple Fox vermijden

Het is duidelijk dat gebruikers kunnen voorkomen dat ze het slachtoffer worden van Purple Fox-malware en andere soortgelijke exploitkits door enkele eenvoudige tips te volgen. De eerste zou zijn om hun Windows-systeem altijd up-to-date te houden door de nieuwste patches voor bekende kwetsbaarheden te installeren. Door privileges te bewaken en te beperken tot beheerderstools, zou het principe van de minste privileges kunnen worden afgedwongen. Ook zal een professionele anti-malware-oplossing die geavanceerde beveiligingslagen biedt, bedreigingen zoals Purple Fox kunnen ontwapenen. Gebruikers moeten cyberbeveiliging serieuzer gaan nemen. Een van de meest voorkomende aanbevelingen van malware-onderzoekers is om al uw software up-to-date te houden. Helaas vindt de meerderheid van de online gebruikers dit een te vervelende taak. Als al uw toepassingen echter up-to-date zijn, zal een bedreiging zoals de Purple Fox Trojan-downloader uw systeem niet kunnen infiltreren omdat het afhankelijk is van kwetsbaarheden die zijn aangetroffen in verouderde software. Zorg er ook voor dat er een legitieme antimalware-oplossing aanwezig is, waarmee u ongewenste toepassingen kunt detecteren en verwijderen.