Εντοπίστηκε για πρώτη φορά το 2018, το malware Purple Fox έκανε πρόσφατα μια επιστροφή με μια εξελιγμένη καμπάνια για τη στόχευση υπολογιστών που βασίζονται σε πλατφόρμα Windows. Αυτοί που εντόπισαν ξανά το κακόβουλο λογισμικό ήταν οι ερευνητές της Guardicore Labs που σήμερα δημοσιεύουν μια αναφορά για το θέμα.
Στο παρελθόν, η συνιστώσα βασίστηκε κυρίως σε μεθόδους που σχετίζονται με την εξάπλωση του ηλεκτρονικού ψαρέματος (phishing), αλλά η νέα παραλλαγή που έχει συσκευαστεί από εγκληματίες στον κυβερνοχώρο προχωρά περαιτέρω, χρησιμοποιώντας αυτό που ονομάζεται “σάρωση θύρας χωρίς διακρίσεις” και θέτοντας σε κίνδυνο υπηρεσίες SMB (Server Message Block) που εκτίθενται με τη χρήση αδύναμων κωδικών πρόσβασης. Εξοπλισμένο με μια πραγματική μονάδα worm, ο στόχος της είναι στη συνέχεια να εκμεταλλευτεί τα επηρεαζόμενα συστήματα για να φιλοξενήσει και να διανείμει τα payload. Πάνω από 2.000 διακομιστές λειτουργούν ήδη.
Το παρακάτω γράφημα δείχνει τον όγκο των περιστατικών που προέκυψαν από τη δραστηριότητα της Purple Fox και που εντοπίστηκαν από το Guardicore Global Sensors Network κατά την τελευταία περίοδο: η αύξηση που καταγράφηκε από το Μάιο του 2020 και μετά είναι αρκετά σαφής, ώστε να φτάσει συνολικά 90.000 επιθέσεις.
Μερικές φορές, για να στοχεύσετε τη μόλυνση, ο κακόβουλος κώδικας τοποθετείται σε ένα αρχείο MSI μεταμφιεσμένο ως πακέτο Windows Update. Στη συνέχεια στοχεύει το firewall ενεργώντας σε συγκεκριμένες θύρες και εγκαθιστά μια διεπαφή IPv6 αφιερωμένη στη σάρωση θύρας για να ευνοήσει τη διάδοσή του. Ο κώδικας εισάγεται σε ένα DLL του συστήματος έτσι ώστε να φορτώνεται κατά την εκκίνηση του υπολογιστή.
