Purple Fox

Purple Fox Truva Atı indiricisi, 2018'den beri kötü amaçlı yazılım araştırmacılarının radarında olan bir tehdittir. Şimdiye kadar uzmanlar, bu Truva Atı'nın dünya çapında 30.000'den fazla kurbanı ele geçirmeyi başardığına inanıyor. Purple Fox Truva Atı'nın yaratıcıları tehditlerini güncellediler ve şimdi yarattıklarını hedeflenen ana bilgisayarlara enjekte etmek için RIG Exploit Kit'i kullanıyorlar. Purple Fox Truva atı indiricisinin yükü artık NSIS kurulum aracına bağlı değil, bunun yerine PowerShell komutlarına bağlı. Böylelikle saldırganlar, tüm operasyonu daha sessiz hale getirdi ve araştırmacılar veya kötü amaçlı yazılımdan koruma araçları tarafından fark edilme olasılığını azalttı. Purple Fox Truva atı operatörleri, çoğunlukla tehlike altındaki ana bilgisayarlara kripto madenciliği tehditleri yerleştirmek için onu kullanma eğilimindedir. Ancak, bu Truva atı yükleyicisi çok daha fazla zararlı tehdit oluşturmak için de kullanılabilir. Exploit Kits (EK), son zamanlarda trend olan siber güvenlik tehditleri arasında yer almıyor. Yine de, geçmişte Purple Fox olarak bilinen istismar kitleri aracılığıyla sunulan dosyasız indiricilerden oluşan kötü amaçlı yazılım ailesi şimdi yeniden manşetlere girmeye çalışıyor. Geçen yıl 30.000'den fazla kullanıcı Purple Fox'un kurbanı olurken, bu ayın başlarında, kötü amaçlı yazılım araştırmacıları, önceki cephaneliğine birkaç Microsoft güvenlik açığı daha ekleyen yeni bir varyantla karşılaştı. Bu kötü amaçlı yazılımın ana amacı, eskisi gibi, Truva atları, Fidye yazılımları, kripto madencileri ve bilgi hırsızları gibi hedef sistemlere diğer kötü amaçlı yazılım tehditlerini dağıtmaktır. Daha önce, Purple Fox kötü amaçlı yazılım ailesinden gelen tehditler, üçüncü taraf istismar kiti RIG tarafından sağlanıyordu. Bununla birlikte, 2019'dan beri Purple Fox operatörleri, kötü amaçlı yazılım teslim etmek ve almak için Microsoft PowerShell'e geçti ve bu tehdidi RIG EK'nin yerini aldı. Purple Fox'un yeni yükseltilmiş varyantı artık iki ek Microsoft güvenlik açığından yararlanabiliyor; ilki yerel ayrıcalık yükseltmesine izin veriyor ve CVE-2019-1458 olarak adlandırılıyor; ikincisi, CVE-2020-0674, Internet Explorer'daki bir güvenlik açığıdır. Her ikisi de zaten yamalanmış olsa da, Purple Fox sahiplerinin mevcut yamalanmamış güvenlik açıklarını takip etme istekleri, kötü amaçlı yazılım araştırmacılarına, istismar kitlerini radarlarında tutmaları gerektiğini gösteriyor.

Purple Fox Truva Atı Tarafından Kullanılan İstismarlar

Purple Fox Truva atı indiricisinin yöneticilerinin, RIG Exploit Kit'in kullanımı dışında başka yayılma yöntemlerini kullanması muhtemeldir. Uzmanlar, Purple Fox Truva Atı'nın kötü amaçlı reklam kampanyaları ve sahte indirmeler yoluyla da yayılabileceğine inanıyor. Şu anda, Purple Fox Truva Atı'nın yayılmasında kullanılan RIG Exploit Kit, kurbanları çeşitli güvenlik açıkları açısından kontrol ediyor:

• VBScript istismarı - CVE-2018-8174.
• Adobe Flash istismarı - CVE-2018-15982.
• Internet Explorer istismarı - CVE-2014-6332.
• Sızan hesabın yönetici izinleri yoksa, tehdit CVE-2018-8120 ve CVE-2015-1701'i arayacaktır.

Purple Fox indiricisinin önceki sürümlerine benzer şekilde, bu değişken yönetici ayrıcalıklarına sahip dosyalara sahiptir ve bunlar daha sonra ana bilgisayarda zaten mevcut olan benzer dosyaları, örneğin bozuk sürücüler aracılığıyla taklit ederek sistemdeki varlığını maskelemek için kullanılır.

Purple Fox, Microsoft PowerShell Aracılığıyla Güvenlik Açıklarından Yararlanıyor

Purple Fox, kötü niyetli eylemlerini gerçekleştirmek için, PowerShell'i çalıştırmak ve yetersiz korunan sistemlere ek kötü amaçlı yazılım indirmek için yamalanmamış güvenlik açıklarına saldırır. Böyle bir saldırı, genellikle bir kullanıcı Purple Fox kötü amaçlı komut dosyası enjekte edilmiş bozuk bir web sitesini ziyaret ettiğinde başlatılır. Kötü amaçlı yazılım, sistemi tehlikeye atmak için ihtiyaç duyduğu güvenlik açıklarını tespit eder ve ardından kullanıcı hala söz konusu web sitesindeyken hedef makineye sızar. Genellikle, kullanıcılar kötü amaçlı reklamlar veya spam e-postalar tarafından yeniden yönlendirildikten sonra bu tür tehlikeli sayfalara gelir. Virüs, CVE-2020-0674 Windows güvenlik açığından yararlanılarak gerçekleştiğinde, Purple Fox, bilgisayarın web tarayıcısı tarafından kullanılan "jscript.dll" kitaplığını hedefler. Daha sonra kötü amaçlı yazılım, bu kitaplıktaki RegExp'ten bir adres çıkarır, jscript.dll PE üstbilgisini bulur ve ardından Purple Fox'un kabuk kodunu makineye yüklediği yardımla içe aktarma şifre çözücüyü bulur. Bu kabuk kodu daha sonra WinExec'i bulur ve gerçek kötü amaçlı yazılım yürütmesini başlatan bir işlem oluşturur. Ardından, Purple Fox, sistem yeniden başlatıldıktan sonra kayıt defteri girdilerini ve dosyalarını gizlemek için rootkit yeteneklerini kullanır. Araştırmacılar, Purple Fox'un, kötü amaçlı yazılımın DLL dosyasını gizlemesine ve tersine mühendisliği önlemesine yardımcı olan bir açık kaynak kodunu kötüye kullanarak rootkit bileşenlerini etkinleştirdiğini gözlemlediler.

Mor Tilkiden Kaçınabilirsiniz

Açıkçası, kullanıcılar bazı basit ipuçlarını izleyerek Purple Fox kötü amaçlı yazılımına ve diğer benzer istismar kitlerine kurban gitmekten kaçınabilirler. İlki, bilinen güvenlik açıkları için en son yamaları yükleyerek Windows sistemlerini her zaman güncel tutmaktır. Ayrıcalıkların yönetici araçlarına izlenmesi ve sınırlandırılması, en az ayrıcalık ilkesinin uygulanmasına izin verecektir. Ayrıca, gelişmiş güvenlik katmanları sunan profesyonel bir kötü amaçlı yazılımdan koruma çözümü, Purple Fox gibi tehditleri etkisiz hale getirebilir. Kullanıcıların siber güvenliği daha ciddiye almaya başlaması gerekiyor. Kötü amaçlı yazılım araştırmacılarının en yaygın önerilerinden biri, tüm yazılımlarınızı güncel tutmaktır. Ne yazık ki, çevrimiçi kullanıcıların çoğu bunu çok sıkıcı bir iş olarak görüyor. Ancak, tüm uygulamalarınız güncelse, Purple Fox Truva atı indiricisi gibi bir tehdit, eski yazılımlarda bulunan güvenlik açıklarına dayandığından sisteminize sızamaz. Ayrıca, istenmeyen uygulamaları tespit edip kaldırmanıza yardımcı olacak yasal bir kötü amaçlı yazılımdan koruma çözümünün mevcut olduğundan emin olun.