Purple Fox (Rubah Ungu) adalah sebuah malware yang sebelumnya didistribusikan melalui grup exploit dan email phishing dan telah menambahkan modul worm yang memungkinkan serangan konstan yang memindai dan menginfeksi sistem Windows yang dapat diakses melalui Internet.
Malware ini hadir dengan fungsi rootkit dan backdoor (pintu belakang), pertama kali ditemukan pada tahun 2018 setelah menginfeksi setidaknya 30.000 perangkat dan digunakan sebagai alat unduhan untuk menyebarkan malware lainnya.
Modul eksploitasi Purple Fox telah menyerang pengguna Windows dengan memanfaatkan browser web setelah menargetkan sistem Windows [1, 2] dan mengeksploitasi kerusakan memori dan kerentanan eskalasi hak istimewa.
Menurut peneliti keamanan Guardicore Labs; Amit Serber dan Ophir Harpaz, serangan rubah ungu telah meningkat secara dramatis sejak Mei 2020, mencapai total 90.000 serangan dan lebih dari 600% korban jiwa.
Perangkat Windows Yang Rentan Beresiko
Upaya untuk memindai port aktif dan mengeksploitasi malware dimulai akhir tahun lalu berdasarkan data telemetri yang dikumpulkan melalui Guardicore Global Sensors Network (GGSN).
Setelah sistem Windows terdeteksi terbuka saat memindai perangkat yang dapat diakses Internet, yang baru ditambahkan terinfeksi dengan brute force dari sandi SMB.
Purple Fox telah menyebarkan malware dan modul tambahan ke bot-net yang luas, pasukan sekitar 2.000 server yang dikompromikan, menurut laporan Guardicore Labs.
Perangkat yang disertakan dalam bot ini termasuk Windows Server yang menjalankan IIS versi 7.5, Microsoft FTP, Microsoft RPC, Microsoft SQL Server 2008 R2, Microsoft HTTPAPI httpd 2.0, dan server yang menjalankan Layanan Terminal Microsoft.
Perilaku seperti worm Purple Fox melakukan serangan brute force untuk menginfeksi server melalui layanan internet SMB yang rentan, tetapi dengan kampanye phishing dan kerentanan browser web.
“Dari penelitian kami, tampaknya terdiri dari campuran server yang rentan dan dieksploitasi yang meng-hosting muatan malware awal, mesin yang terinfeksi yang terus berjalan sebagai node untuk kampanye pemanasan, dan infrastruktur server. Saya telah memperhatikan infrastrukturnya, yang tampaknya terkait dengan kampanye malware lainnya.”
Kamuflase Root-kit sebagai Open-source
Sebelum memulai ulang perangkat yang terinfeksi dan mendapatkan celah sistem, Purple Fox juga menginstal unit root-kit tersembunyi yang menggunakan rute open-source tersembunyi untuk menyembunyikan file dan folder dan registry entries Windows yang dibuat pada sistem yang terinfeksi.
Ketika root disebarkan dan perangkat dimulai ulang, malware merilis nama muatan dengan ekstensi .dll ( directory link library ) agar sesuai dengan sistem dll Windows dan dikonfigurasi untuk boot ketika sistem dimulai.
Setelah malware diterapkan di sistem boot, setiap sistem yang terinfeksi nantinya akan melakukan perilaku seperti cacing yang sama, terus-menerus memeriksa Internet untuk target lain dan mencoba membahayakan mereka dan menambahkannya ke bot-net.
“Ketika perangkat menanggapi survei SMB yang dikirim pada port 445, ia mencoba untuk mengotentikasi SMB dengan memaksa nama pengguna dan kata sandi yang kasar, atau dengan mencoba membuat sesi kosong,” tutup Guardicore Labs.
“Jika otentikasi berhasil, malware membuat layanan yang cocok dengan nama AC0 [0-9] {1}, misalnya, AC01, AC02, dan AC05 (dijelaskan di atas), yang mengunduh paket instalasi MSI dari salah satu dari banyak server HTTP, dan cincin infeksi selesai.
Di GitHub repository ini, Anda bisa mendapatkan indikator peredaan (IPC) yang mencakup situs drop Fox MSI ungu dan server kembali koneksi.
Artikel asli dari Bleeping Computer.