Οι προγραμματιστές πίσω από το malware λήψης αρχείων Purple Fox αναβάθμισαν πρόσφατα τις λειτουργίες τους και τώρα στοχεύουν δύο νέες ευπάθειες για να αποκτήσουν πρόσβαση σε δίκτυα, σύμφωνα με έκθεση της εταιρείας ασφαλείας Proofpoint.
Το Purple Fox στόχευσε 30.000 χρήστες μόνο το 2018, σύμφωνα με μια προηγούμενη έκθεση της TrendMicro.
Η συμμορία Purple Fox δημιούργησε πρόσφατα ένα νέο exploit kit, με το όνομα Purple Fox, αντικαθιστώντας το exploit kit RIG που προηγουμένως χρησιμοποιούσε για τη διανομή του malware. Αυτή η κίνηση επιτρέπει στη συμμορία να εξαλείψει το κόστος αγοράς ενός κιτ, σύμφωνα με την νέα έκθεση της Proofpoint.
Επιπλέον, το Purple Fox εκμεταλλεύεται τώρα δύο επιπλέον ευπάθειες. Η πρώτη, που αναφέρεται ως CVE-2020-0674, είναι ένα θέμα ευπάθειας μνήμης κινητήρα στον Internet Explorer που θα μπορούσε να επιτρέψει στους εισβολείς να πάρουν τον έλεγχο του συστήματος και να εκτελέσουν απομακρυσμένα κώδικα. Η δεύτερη ευπάθεια, CVE-2019-1458, είναι μια ευπάθεια τοπικής αύξησης δικαιωμάτων σε ορισμένες εκδόσεις των Windows.
Η Microsoft εξέδωσε patches πέρυσι για κάθε ένα από αυτά τα σφάλματα, σύμφωνα με την έκθεση.
«Καθώς τα κιτ εκμετάλλευσης έχουν εξασθενίσει, το κιτ εκμετάλλευσης Purple Fox συνεχίζει να ενημερώνεται και να παραμένει σχετικό με νέα exploits», δήλωσε ο Sherrod DeGrippo, ανώτερος διευθυντής της έρευνας απειλών στην Proofpoint.
Μέθοδοι malware
“Ο στόχος αυτών των επιθέσεων είναι να εκμεταλλευτούν επιτυχώς έναν ευάλωτο στόχο ώστε να μπορούν να εκτελέσουν το PowerShell με τρόπο που να κατεβάζει επιπλέον malware”, λέει ο DeGrippo. Μόλις αναπτυχθεί, το malware Purple Fox “καταλήγει” σε ένα rootkit για να διατηρήσει το persistence, προσθέτει.
Το Purple Fox εκμεταλλεύεται τις δύο ευπάθειες τουλάχιστον από τα μέσα Ιουνίου, σημειώνει ο DeGrippo.
Σε ένα περιστατικό που παρατηρήθηκε από τους ερευνητές, οι εισβολείς εκμεταλλεύτηκαν το CVE-2020-0674 για να ξεκινήσουν μια κακόβουλη επίθεση χρησιμοποιώντας τη χρήση του jscript.dll από τον Internet Explorer, ένα σύστημα αρχείων που επιτρέπει στα Windows να λειτουργούν. Το κακόβουλο script προσπαθεί να διαρρεύσει μια διεύθυνση από την κανονική εφαρμογή έκφρασης εντός του jscript.dll, αναφέρει η Proofpoint.
Το κακόβουλο JavaScript χρησιμοποιεί αυτές τις διευθύνσεις που έχουν διαρρεύσει για να αναζητήσει την κεφαλίδα Portable Executable του jscript.dll, η οποία στη συνέχεια χρησιμοποιείται για τον εντοπισμό μιας περιγραφής εισαγωγής που περιέχει τη διαδικασία χειρισμού και επεξεργασίας μνήμης που απαιτείται για τη φόρτωση του πραγματικού shellcode, λέει η έκθεση.
Διανομή κακόβουλου λογισμικού
Το Purple Fox χρησιμοποιείται κυρίως για τη διανομή άλλων τύπων κακόβουλου λογισμικού, όπως κλοπής πληροφοριών, cryptominers, ransomware και Trojans, τα οποία ανήκουν και λειτουργούν από τον απειλητικό παράγοντα που αναπτύσσει το κιτ και δεν πωλείται για χρήση από άλλους, λέει ο DeGrippo.
Η μετάβαση σε ένα εσωτερικό κιτ εκμετάλλευσης και η στόχευση δύο νέων τρωτών σημείων δείχνει ότι οι δημιουργοί του Purple Fox “λαμβάνουν αποφάσεις με βάση την εξοικονόμηση κόστους και κινούνται γρήγορα για να προσαρμοστούν σε νέες εξελίξεις που μπορούν να τους επιτρέψουν να επεκτείνουν την αγορά τους”, αναφέρει ο DeGrippo.
