Purple Fox

Purple Fox Beskrivning

Purple Fox Trojan-nedladdaren är ett hot som har varit på radarn för malware-forskare sedan 2018. Hittills tror experter att denna Trojan har lyckats kräva över 30 000 offer över hela världen. Skaparna av Purple Fox Trojan har uppdaterat sitt hot och använder nu RIG Exploit Kit för att injicera sin skapelse i de riktade värdarna. Nyttolasten för Purple Fox Trojan-nedladdaren är inte längre beroende av NSIS-installationsverktyget, utan istället PowerShell-kommandon. På detta sätt har angriparna se till att göra hela operationen tystare och mindre sannolikt att upptäckas av forskare eller anti-malware-verktyg. Purple Fox Trojans operatörer brukar använda den för att plantera krypto-gruvhot på de kompromitterade värdarna. Men denna Trojan-nedladdare kan också användas för att plantera mycket mer skadliga hot. Exploit Kits (EK) har inte varit bland de trendiga cybersäkerhetshoten nyligen. Ändå försöker nu en malware-familj av fillösa nedladdare som levererats genom exploateringssatser som tidigare varit kända som Purple Fox att göra rubriker igen. Förra året blev över 30 000 användare ett offer för Purple Fox, medan tidigare denna månad kom malwareforskare över en ny variant som har lagt till några fler Microsoft-exploater i sin tidigare arsenal. Huvudmålet med den här skadliga programvaran förblir, precis som tidigare, att distribuera andra hot mot skadlig programvara på målsystem, som trojaner, Ransomware, crypto gruvarbetare och infostjärare. Tidigare levererades hot från Purple Fox-skadefamiljen av tredje parts exploateringssats RIG. Sedan 2019 bytte dock operatörerna av Purple Fox till Microsoft PowerShell för att leverera och hämta skadlig kod, vilket gör detta hot till en ersättning för RIG EK. Den nya uppförda varianten av Purple Fox kan nu utnyttja ytterligare två Microsoft-sårbarheter - den första tillåter lokal höjning av rättigheter och heter CVE-2019-1458; den andra, CVE-2020-0674, är en säkerhetsgap i Internet Explorer. Även om båda redan har lappats, signalerar Purple Fox-ägarnas vilja att hålla koll på nuvarande omatchade sårbarheter till forskare om skadlig programvara att de fortfarande ska hålla exploateringssatser på sin radar.

Utnyttjanden som används av Purple Fox Trojan

Det är troligt att administratörerna av Purple Fox Trojan-nedladdaren kan använda andra formeringsmetoder, förutom användningen av RIG Exploit Kit . Experter tror att Purple Fox Trojan också kan spridas via felaktiga kampanjer, liksom falska nedladdningar. För närvarande kontrollerar RIG Exploit Kit som används vid spridningen av Purple Fox Trojan offer för flera sårbarheter:

  • VBScript exploaterar - CVE-2018-8174.
  • Adobe Flash exploit - CVE-2018-15982.
  • Internet Explorer utnyttjar - CVE-2014-6332.
  • Om det infiltrerade kontot inte har administratörsbehörighet kommer hotet att leta efter CVE-2018-8120 och CVE-2015-1701.

I likhet med tidigare versioner av Purple Fox-nedladdaren har den här varianten filer med administratörsbehörighet, som sedan används för att maskera dess existens på systemet genom att imitera liknande filer som redan finns på värden, till exempel via skadade drivrutiner.

Purple Fox utnyttjar sårbarheter genom Microsoft PowerShell

För att utföra sina skadliga handlingar attackerar Purple Fox omatchade sårbarheter för att köra PowerShell och ladda ner ytterligare skadlig kod på otillräckligt skyddade system. En sådan attack initieras vanligtvis när en användare besöker en skadad webbplats som har injicerats med Purple Fox skadliga skript. Skadlig kod upptäcker de sårbarheter som behövs för att kompromissa med systemet och infiltrerade sedan i målmaskinen medan användaren fortfarande är på den angivna webbplatsen. Vanligtvis landar användare på sådana farliga sidor efter att ha omdirigerats av skadliga annonser eller skräppost. När infektionen har hänt genom att utnyttja CVE-2020-0674 Windows-sårbarheten riktar Purple Fox sig mot biblioteket “jscript.dll”, som används av datorns webbläsare. Sedan extraherar skadlig programvara en adress från RegExp i det biblioteket, hittar jscript.dll PE-rubriken och lokaliserar sedan importavkodaren med hjälp av vilken Purple Fox har laddat sin skalkod på maskinen. Denna skalkod hittar sedan WinExec och skapar en process som startar den faktiska körningen av skadlig kod. Därefter använder Purple Fox sina rootkit-funktioner för att dölja sina registerposter och filer efter en systemstart. Forskare har observerat att Purple Fox möjliggör sina rootkit-komponenter genom att missbruka en öppen källkod, vilket hjälper skadlig kod att dölja sin DLL och förhindra omvänd teknik.

Du kan undvika Purple Fox

Självklart kan användare undvika att bli offer för Purple Fox-skadlig kod och andra liknande exploateringssatser genom att följa några enkla tips. Den första skulle vara att alltid hålla sitt Windows-system uppdaterat genom att installera de senaste korrigeringsfilerna för kända sårbarheter. Övervakning och begränsning av behörigheter till administratörsverktyg gör det möjligt att genomdriva principen om minst privilegium. En professionell anti-malware-lösning som erbjuder avancerade säkerhetsskikt kommer att kunna avväpna hot som Purple Fox. Användare måste börja ta cybersäkerhet mer seriöst. En av de vanligaste rekommendationerna från forskare med skadlig programvara är att hålla all din programvara uppdaterad. Tyvärr tycker de flesta användare online att detta är för mycket tråkigt. Men om alla dina applikationer är uppdaterade kommer ett hot som Purple Fox Trojan-nedladdaren inte att kunna infiltrera ditt system eftersom det är beroende av sårbarheter som finns i föråldrad programvara. Se också till att det finns en legitim anti-malware-lösning som hjälper dig att upptäcka och ta bort oönskade applikationer.