Guardicore hat eine neue Sicherheitsanalyse über die Malware-Kampagne „Purple Fox“ veröffentlicht. Das Schadprogramm Purple Fox infiziert anfällige Windows-Systeme durch Exploit- oder Phishing-Attacken.
Die Sicherheitsexperten von Guardicore Labs haben jetzt einen weiteren Angriffsvektor der Malware erkannt, bei dem auch SMB-Passwörter von Windows-Systemen per Brute-Force-Angriff geknackt werden.
Die Malware Purple Fox nutzt ein Rootkit, um erfolgreiche Infektionen auf den betroffenen IT-Systemen zu verbergen und ein Entfernen des Schadprogramms zu erschweren. Mittlerweile gibt es ein Netzwerk von rund 2.000 kompromittierten Servern, mit denen die unbekannten Angreifer schädliche Payloads und Dropper verteilen. Im wesentlichen handelt es sich dabei um Webserver mit Microsoft Internet Information Services (IIS) 7.5.
600 Prozent mehr Attacken
Im März 2018 wurde Purple Fox vom Guardicore Global Sensors Network (GGSN) erstmals erkannt. GGSN ist ein weltweites Netzwerk von Erkennungssensoren, die in Rechenzentren und Cloud-Umgebungen auf der ganzen Welt eingesetzt werden und in der Lage sind, Angriffsströme vollständig zu erfassen und auszuwerten. Ende 2020 verzeichnete Guardicore den Versuch der Purple-Fox-Entwickler, nach anfälligen SMB-Diensten (Server Message Block) und schwachen Passwörtern oder Hash-Verfahren zu scannen. Folge: Seit Mai 2020 ist die Zahl der Infektionen um circa 600 Prozent auf insgesamt 90.000 Attacken gestiegen.
Guardicore Sicherheitsanalyse zeigt, dass der Wurm-Payload entweder über einen anfälligen Netzwerkdienst oder einen Phishing-Angriff auf eine Browser-Schwachstelle ausgeführt wird. Purple Fox tarnt sich als Windows-Update-Paket und umgeht statische Signatur-Erkennungsmethoden. Im Verlauf des Installationsprozesses auf kompromittierten Rechnern ändert die Malware die Windows-Firewall-Regeln, um mehrere Befehle, Port-Scans und Vorbereitungen für weitere Angriffe steuern zu können.
Weitere Informationen über die Malware-Kampagne finden Sie hier.
www.guardicore.com