Purple Fox Malware wuselt wie ein Wurm auf Windows
Die Malware-Jäger von Guardicore warnen davor, dass ein aggressiver Botnet-Betreiber SMB-Passwort-Brute-Force einsetzt, um das Microsoft Windows-Ökosystem zu infizieren und sich wie ein Wurm zu verbreiten.
Die Malware-Kampagne mit dem Namen "Purple Fox" ist seit mindestens 2018 aktiv und die Entdeckung des neuen wurmartigen Infektionsvektors ist ein weiteres Zeichen dafür, dass Malware in Consumer-Qualität weiterhin Gewinne für Cyberkriminelle abwirft.
Laut Guardicore-Forscher Amit Serper nutzten die Betreiber von Purple Fox in erster Linie Exploit-Kits und Phishing-E-Mails, um Botnets für Krypto-Mining und andere schändliche Zwecke aufzubauen.
Jetzt wird die neue SMB-Brute-Force-Methode mit Rootkit-Fähigkeiten kombiniert, um sich auf Windows-Computern mit Internetanschluss und schwachen Passwörtern zu verstecken und zu verbreiten.
Ende 2020 und Anfang 2021 entdeckte das Guardicore Global Sensors Network (GGSN) die neuartige Verbreitungsmethode von Purple Fox durch wahlloses Scannen von Ports und die Ausnutzung von exponierten SMB-Diensten mit schwachen Passwörtern und Hashes.
Serper zufolge gab es im Mai 2020 eine "signifikante Menge an bösartigen Aktivitäten", bei denen die Anzahl der Infektionen um etwa 600% anstieg und sich auf insgesamt 90.000 Angriffe belief.
Serpers Blog, der IOCs enthält, um Verteidigern bei der Suche nach Anzeichen einer Infektion zu helfen, erklärt die Aggressivität des Malware-Betreibers:
Während es den Anschein hat, dass sich die Funktionalität von Purple Fox nach der Exploitation nicht wesentlich verändert hat, sind seine Verbreitungs- und Verteilungsmethoden - und sein wurmähnliches Verhalten - ganz anders als in den zuvor veröffentlichten Artikeln beschrieben. Bei unseren Untersuchungen haben wir eine Infrastruktur beobachtet, die aus einem Sammelsurium von verwundbaren und ausgenutzten Servern zu bestehen scheint, die die ursprüngliche Nutzlast der Malware hosten, sowie infizierten Rechnern, die als Knotenpunkte dieser ständig wurmenden Kampagnen dienen, und einer Server-Infrastruktur, die mit anderen Malware-Kampagnen in Verbindung zu stehen scheint.
Serpers Team bei Guardicore warnte, dass die Angreifer verschiedene MSI-Pakete auf fast 2.000 Servern hosten, von denen die meisten kompromittierte Maschinen sind, die für das Hosten bösartiger Payloads umfunktioniert wurden.
Das Unternehmen fand heraus, dass sich die Kampagne über zwei verschiedene Mechanismen verbreitet - eine Wurm-Nutzlast, nachdem ein Opfercomputer über einen anfälligen exponierten Dienst (wie SMB) kompromittiert wurde; oder die Wurm-Nutzlast wird über eine Phishing-Kampagne per E-Mail versendet.