Purple Fox Rootkit hiện có thể tự phát tán sang các máy tính Windows khác.



Purple Fox, một phần mềm độc hại Windows trước đây được biết đến với việc lây nhiễm vào máy bằng cách sử dụng exploit kits và phishing emails, hiện đã thêm một kỹ thuật mới để tạo ra cho nó khả năng lây lan giống như sâu.

Theo các nhà nghiên cứu của Guardicore, chiến dịch đang diễn ra sử dụng một “kỹ thuật phát tán mới thông qua port scanning và khai thác các dịch vụ SMB tiếp xúc với mật khẩu và mã băm yếu”, theo các nhà nghiên cứu của Guardicore, người cho biết các cuộc tấn công đã tăng khoảng 600% kể từ tháng 5 năm 2020.

Tổng cộng 90.000 sự cố đã được phát hiện trong thời gian còn lại năm 2020 và đầu năm 2021.

Lần đầu tiên được phát hiện vào tháng 3 năm 2018, Purple Fox được phân phối dưới dạng tải trọng “.msi” độc hại được lưu trữ trên gần 2.000 máy chủ Windows  bị xâm nhập, lần lượt tải xuống và thực thi một thành phần có khả năng rootkit, cho phép các hacker ẩn đi malware. trên máy và giúp chúng dễ dàng trốn tránh bị phát hiện.

Guardicore cho biết Purple Fox đã không thay đổi nhiều sau khi khai thác, nhưng nơi nó có biểu hiện giống như “sâu”, cho phép malware lây lan nhanh hơn.

Nó đạt được điều này bằng cách đột nhập vào máy nạn nhân thông qua một dịch vụ nhiều điểm yếu, dễ bị tấn công như Server Message Block (SMB), tận dụng chỗ đứng ban đầu để thiết lập sự bền bỉ, kéo payload từ mạng lưới của Windows servers và cài đặt lén  rootkit trên máy chủ.

Sau khi bị lây nhiễm, malware sẽ chặn nhiều cổng (445, 139 và 135), có khả năng nhằm “ngăn máy bị nhiễm không bị tái nhiễm và / hoặc bị khai thác bởi một hacker khác”, Amit Serper, phó chủ tịch mới  nghiên cứu bảo mật của Bắc Mỹ Guardicore  lưu ý.

Trong giai đoạn tiếp theo, Purple Fox bắt đầu quá trình lan truyền bằng cách tạo dải IP và quét chúng trên cổng 445, sử dụng các thiết bị thăm dò để tìm ra các thiết bị dễ bị tấn công trên Internet với mật khẩu yếu và buộc chúng phải gài máy vào mạng botnet.

Mặc dù mạng botnet thường được triển khai bởi các hacker để khởi động các denial-of-network attacks chống lại các trang web với mục tiêu đưa chúng vào ngoại tuyến, nhưng chúng cũng có thể được sử dụng để phát tán tất cả các loại malware, bao gồm cả file-encrypting ransomware, trên các máy tính bị lây nhiễm. Trong trường hợp này, không rõ ràng bây giờ những hacker đang muốn đạt được mục đích gì.

Nếu có bất cứ điều gì, infection vector mới là một dấu hiệu khác cho thấy những kẻ điều hành tội phạm liên tục trang bị lại cơ chế phân phối malware của chúng để tạo ra một mạng lưới rộng lớn và xâm nhập càng nhiều máy càng tốt.

nguồn:thehackernew



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật