Срочно. Руткит Purple Fox теперь может распространяться на другие компьютеры с Windows

Руткит Purple Fox теперь может распространяться на другие компьютеры с Windows. Фото: Pixabay

По словам исследователей Guardicore , в текущей кампании используется «новая техника распространения через неизбирательное сканирование портов и использование открытых сервисов SMB со слабыми паролями и хешами» , которые заявляют, что с мая 2020 года количество атак увеличилось примерно на 600%.

В течение оставшейся части 2020 года и начала 2021 года было зафиксировано в общей сложности 90 тыс. инцидентов.

Purple Fox, впервые обнаруженный в марте 2018 года, распространяется в виде вредоносных полезных данных ".msi", размещённых на почти 2тыс. скомпрометированных серверах Windows, которые, в свою очередь, загружают и запускают компонент с возможностями руткита , который позволяет злоумышленникам скрыть вредоносное ПО на машине и упростить маскировку.

Guardicore заявляет, что Purple Fox не сильно изменился после эксплуатации, но его поведение похоже на червя, что позволяет вредоносному ПО распространяться быстрее.

Это достигается путём взлома машины-жертвы через уязвимую, открытую службу, такую ​​как блок сообщений сервера ( SMB ), используя начальную точку опоры для установления устойчивости, извлечения полезной нагрузки из сети серверов Windows и скрытой установки руткита на хост.

После заражения вредоносная программа блокирует несколько портов (445, 139 и 135), вероятно, в попытке «предотвратить повторное заражение заражённой машины и / или ее использование другим злоумышленником», - отмечает Амит Серпер, новый сотрудник Guardicore. вице-президент по исследованиям безопасности в Северной Америке.

На следующем этапе Purple Fox начинает процесс распространения, генерируя диапазоны IP-адресов и сканируя их на порте 445, используя зонды для выявления уязвимых устройств в Интернете с помощью слабых паролей и их грубого подбора, чтобы заманить машины в ботнет.

Хотя ботнеты часто развёртываются злоумышленниками для запуска атак типа «отказ в сети» против веб-сайтов с целью вывода их в автономный режим, их также можно использовать для распространения на заражённых компьютерах всех видов вредоносных программ, включая программы-вымогатели для шифрования файлов, хотя в этом случае не сразу понятно, чего хотят добиться злоумышленники.

Во всяком случае, новый вектор заражения является еще одним признаком того, что криминальные операторы постоянно переоснащают свои механизмы распространения вредоносных программ, чтобы использовать широкую сеть и скомпрометировать как можно больше компьютеров.