Il nuovo malware Purple Fox infetta sistemi Windows

Purple Fox, un malware precedentemente distribuito tramite kit di exploit ed e-mail di phishing, ha ora aggiunto un modulo worm che gli consente di scansionare e infettare i sistemi Windows raggiungibili su Internet durante gli attacchi.

Il malware viene fornito con funzionalità di rootkit e backdoor, è stato individuato per la prima volta nel  2018  dopo aver infettato almeno 30.000 dispositivi e viene utilizzato come downloader per distribuire altri ceppi di malware. Il  modulo dell’exploit kit di Purple Fox ha anche preso di mira i sistemi Windows in passato [ 1 ,  2 ] per infettare gli utenti di Windows attraverso i loro browser web dopo aver sfruttato il danneggiamento della memoria e l’elevazione delle vulnerabilità dei privilegi.

A partire da maggio 2020, gli attacchi di Purple Fox si sono notevolmente intensificati, raggiungendo un totale di 90.000 attacchi e il 600% in più di infezioni, secondo i ricercatori di sicurezza di Guardicore Labs Amit Serper e Ophir Harpaz.

Prima di riavviare i dispositivi infetti e guadagnando la persistenza, il malware installa un modulo di rootkit che utilizza  hidden  rootkit open-source per nascondere file e cartelle o voci di registro di Windows creati sui sistemi infetti caduto.  Dopo aver distribuito il rootkit e riavviato il dispositivo, il malware rinominerà il suo payload DLL in modo che corrisponda a una DLL di sistema Windows e lo configurerà per essere avviato all’avvio del sistema.

Una volta che il malware viene eseguito all’avvio del sistema, ciascuno dei sistemi infetti mostrerà successivamente lo stesso comportamento simile a un worm, scansionando continuamente Internet alla ricerca di altri bersagli e tentando di comprometterli e aggiungerli alla botnet.