Purple Fox, una popular variante de malware que infectó miles de dispositivos en 2018, está de vuelta, y aunque la forma en que funciona es esencialmente la misma, esta vez está mostrando un comportamiento similar al de un gusano en la forma en que se propaga.
Se está distribuyendo activamente a través de phishing y kits de exploit. Esta variante de malware se dirige a los sistemas Windows vulnerables orientados a Internet con contraseñas débiles.
Los investigadores de seguridad de Guardicore Labs identificaron esta variante de malware y mencionaron que la tasa de infección ha aumentado en un 600 por ciento, infectando 90.000 dispositivos y más desde su primera detección en mayo de 2020.
Purple Fox explota el espacio de memoria de los dispositivos Windows a través de los navegadores web y luego eleva sus privilegios manipulando las vulnerabilidades.
Purple Fox analiza los puertos para encontrar equipos Windows vulnerables. Una vez que encuentra un sistema vulnerable, inicia un ataque de fuerza bruta en el bloque de mensajes del servidor para infectar ese sistema.
De momento, Purple Fox se ha colado en unos 2.000 servidores, según el informe de Guaridicore. Una vez que los dispositivos están infectados, Purple Fox implementará un módulo de rootkit que oculta los archivos caídos y reinicia el dispositivo.
A medida que el dispositivo se reinicia, todos los archivos de carga útil de la biblioteca de enlaces dinámicos (DLL) lanzados por el rootkit serán cambiados de nombre para que coincidan con los archivos DLL de Windows, ocultándolos en plena vista.
Una vez que Purple Fox se hace con el control del dispositivo infectado, buscará en las redes conectadas otros dispositivos que sean vulnerables y los añadirá a su red de bots.
Puede encontrar información detallada sobre Purple Fox en GitHub.
Purple Fox se distribuye a través de campañas de phishing y kits de exploit, y se utiliza para buscar sistemas Windows vulnerables que contengan puertos abiertos que puedan utilizarse para vulnerar un dispositivo de red.
Los administradores de TI tienen que garantizar que sus dispositivos de red sólo tengan puertos limitados abiertos y garantizar que sus dispositivos Windows se mantengan actualizados para eliminar las vulnerabilidades que pueden utilizarse para elevar los privilegios.
También pueden garantizar que sus correos electrónicos entrantes procedan únicamente de los dominios de confianza y cualquier dominio anónimo o malicioso se bloquea automáticamente en las bandejas de entrada de los empleados.
Las campañas de phishing son muy manipuladoras, por lo que educar a los empleados sobre los ataques de phishing y las mejores prácticas para evitar ser víctima de uno ayudará al departamento de TI a mantener la red a salvo de Purple Fox.
El empleo de procedimientos automatizados de gestión de parches con los métodos adecuados de aislamiento del navegador puede mantener su red a salvo de intrusiones como éstas.
Giridhara Raam es un evangelizador de productos en ManageEngine, una división de Zoho Corporation, a quien le encanta hablar de seguridad informática, infoseguridad, inteligencia artificial y gestión unificada de endpoints para educar a los profesionales de TI sobre las últimas amenazas en la industria. Es un profesional del marketing, bloguero, conferencista y sabelotodo cuando se trata del GDPR, la CCPA, la LGPD, el Brexit, la Ley SHIELD y mucho más.
