Purple Fox
Narzędzie pobierania trojana Purple Fox to zagrożenie, które znajduje się na radarze badaczy szkodliwego oprogramowania od 2018 roku. Jak dotąd eksperci uważają, że ten trojan zdołał pochłonąć ponad 30 000 ofiar na całym świecie. Twórcy trojana Purple Fox zaktualizowali swoje zagrożenie i używają teraz zestawu RIG Exploit Kit, aby wstrzyknąć swoje dzieło do docelowych hostów. Ładunek trojana Purple Fox nie jest już zależny od narzędzia instalacyjnego NSIS, ale od poleceń PowerShell. W ten sposób napastnicy upewnili się, że cała operacja jest cichsza i mniej prawdopodobne, że zostaną zauważeni przez badaczy lub narzędzia anty-malware. Operatorzy trojana Purple Fox zwykle wykorzystują go do umieszczania zagrożeń związanych z kopaniem kryptowalut głównie na zaatakowanych hostach. Jednak ten trojan downloader może być również używany do umieszczania znacznie bardziej szkodliwych zagrożeń. Zestawy exploitów (EK) nie należą ostatnio do najpopularniejszych zagrożeń cyberbezpieczeństwa. Jednak rodzina bezplikowych programów do pobierania szkodliwych programów dostarczanych za pośrednictwem zestawów exploitów znanych w przeszłości jako Purple Fox próbuje teraz ponownie znaleźć się na pierwszych stronach gazet. W zeszłym roku ofiarą Purple Fox padło ponad 30 000 użytkowników, podczas gdy na początku tego miesiąca badacze szkodliwego oprogramowania natknęli się na nowy wariant, który dodał kilka kolejnych exploitów Microsoftu do swojego poprzedniego arsenału. Głównym celem tego złośliwego oprogramowania pozostaje, tak jak wcześniej, wdrażanie innych zagrożeń złośliwym oprogramowaniem w systemach docelowych, takich jak trojany, oprogramowanie ransomware, kopacze kryptowalut i złodzieje informacji. Wcześniej zagrożenia z rodziny złośliwego oprogramowania Purple Fox były dostarczane przez zewnętrzny zestaw exploitów RIG. Jednak od 2019 roku operatorzy Purple Fox przeszli na Microsoft PowerShell, aby dostarczać i pobierać złośliwe oprogramowanie, co spowodowało, że zagrożenie to zastąpiło RIG EK. Nowy, ulepszony wariant Purple Fox może teraz wykorzystywać dwie dodatkowe luki w zabezpieczeniach Microsoftu - pierwsza z nich umożliwia lokalne podniesienie uprawnień i nosi nazwę CVE-2019-1458; druga, CVE-2020-0674, to luka w zabezpieczeniach przeglądarki Internet Explorer. Chociaż oba zostały już załatane, chęć właścicieli Purple Fox do kontrolowania aktualnych niezałatanych luk w zabezpieczeniach sygnalizuje badaczom złośliwego oprogramowania, że nadal powinni mieć na swoim radarze zestawy exploitów.
Spis treści
Exploity wykorzystywane przez trojana Purple Fox
Jest prawdopodobne, że administratorzy programu pobierania trojana Purple Fox mogą stosować inne metody propagacji, oprócz wykorzystania zestawu RIG Exploit Kit . Eksperci uważają, że trojan Purple Fox może być również rozprzestrzeniany za pośrednictwem kampanii złośliwych reklam, a także fałszywych pobrań. Obecnie zestaw RIG Exploit Kit używany do rozprzestrzeniania trojana Purple Fox sprawdza ofiary pod kątem kilku luk w zabezpieczeniach:
- Exploit VBScript - CVE-2018-8174.
- Exploit Adobe Flash - CVE-2018-15982.
- Exploit w Internet Explorerze - CVE-2014-6332.
- Jeśli infiltrowane konto nie ma uprawnień administratora, zagrożenie będzie szukać CVE-2018-8120 i CVE-2015-1701.
Podobnie jak we wcześniejszych wersjach programu do pobierania Purple Fox, ten wariant ma pliki z uprawnieniami administratora, które są następnie wykorzystywane do maskowania jego istnienia w systemie, imitując podobne pliki już obecne na hoście, w tym przypadku, za pośrednictwem uszkodzonych sterowników.
Purple Fox wykorzystuje luki w zabezpieczeniach za pomocą programu Microsoft PowerShell
W celu przeprowadzenia złośliwych działań Purple Fox atakuje niezałatane luki w zabezpieczeniach, aby uruchomić PowerShell i pobrać dodatkowe złośliwe oprogramowanie na niewystarczająco chronione systemy. Taki atak jest zwykle inicjowany, gdy użytkownik odwiedza uszkodzoną witrynę, do której wstrzyknięto złośliwy skrypt Purple Fox. Złośliwe oprogramowanie wykrywa luki w zabezpieczeniach potrzebne do złamania zabezpieczeń systemu, a następnie infiltruje maszynę docelową, gdy użytkownik nadal znajduje się na danej stronie internetowej. Zwykle użytkownicy trafiają na takie niebezpieczne strony po przekierowaniu przez złośliwe reklamy lub wiadomości spamowe. Kiedy infekcja nastąpiła poprzez wykorzystanie luki CVE-2020-0674 systemu Windows, Purple Fox atakuje bibliotekę „jscript.dll", która jest używana przez przeglądarkę internetową komputera. Następnie złośliwe oprogramowanie wyodrębnia adres z RegExp w tej bibliotece, znajduje nagłówek jscript.dll PE, a następnie lokalizuje deszyfrator importu, za pomocą którego Purple Fox załadował swój kod powłoki na maszynę. Ten szelkod następnie znajduje WinExec i tworzy proces, który uruchamia rzeczywiste wykonanie złośliwego oprogramowania. Następnie Purple Fox wykorzystuje swoje możliwości rootkita, aby ukryć swoje wpisy rejestru i pliki po ponownym uruchomieniu systemu. Naukowcy zaobserwowali, że Purple Fox umożliwia swoim składnikom rootkita, nadużywając kodu open source, co pomaga złośliwemu oprogramowaniu ukryć bibliotekę DLL i zapobiec inżynierii wstecznej.
Możesz uniknąć Purple Fox
Oczywiście użytkownicy mogą uniknąć stania się ofiarą szkodliwego oprogramowania Purple Fox i innych podobnych zestawów exploitów, postępując zgodnie z kilkoma prostymi wskazówkami. Pierwszym z nich byłoby ciągłe aktualizowanie systemu Windows poprzez instalowanie najnowszych poprawek dla znanych luk w zabezpieczeniach. Monitorowanie i ograniczanie uprawnień do narzędzi administratora pozwoliłoby na egzekwowanie zasady najniższych przywilejów. Ponadto profesjonalne rozwiązanie antywirusowe, które oferuje zaawansowane warstwy bezpieczeństwa, będzie w stanie rozbroić zagrożenia takie jak Purple Fox. Użytkownicy muszą poważniej traktować cyberbezpieczeństwo. Jednym z najczęstszych zaleceń badaczy złośliwego oprogramowania jest aktualizowanie całego oprogramowania. Niestety, dla większości użytkowników online jest to zbyt żmudne zadanie. Jeśli jednak wszystkie Twoje aplikacje są aktualne, zagrożenie takie jak trojan Purple Fox nie będzie w stanie przeniknąć do Twojego systemu, ponieważ opiera się na lukach w nieaktualnym oprogramowaniu. Upewnij się również, że obecne jest legalne rozwiązanie antywirusowe, które pomoże Ci wykryć i usunąć niechciane aplikacje.
