Análisis de malware

Malware Purple Fox: qué es, cómo funciona y cómo prevenirlo

16 de septiembre de por Greg Belding

Sin lugar a dudas, ha habido una marcada disminución en el uso de kits de explotación (EK). El kit de explotación Purple Fox es un tipo de malware que desafía esta tendencia reciente y le ha dado nueva vida. Este malware ligeramente obsoleto utilizaba anteriormente un EK de terceros para lograr los objetivos maliciosos de su operador; A la nueva variante de este malware se le agregaron recientemente algunos nuevos exploits de Microsoft a su arsenal. Este es un comportamiento típico y los operadores de EK están tratando de garantizar su éxito gracias a las actualizaciones semanales.

Este artículo explorará Purple Fox y detallará qué es, cómo funciona y cómo prevenirlo. Puede ser cierto que los EK se están quedando en el camino frente a otro malware, pero Purple Fox está demostrando que todavía hay un lugar en la mesa para los EK.

¿Qué es el zorro morado?

Originalmente un malware de descarga sin archivos (troyano), Purple Fox fue entregado por otro EK llamado RIG e infectó al menos 30.000 sistemas. En, cambió a Windows PowerShell para entregar y recuperar malware y sus operadores lo convirtieron en el reemplazo de RIG EK.

Esto significa que la familia de malware Purple Fox ya no tiene que utilizar un EK de terceros en campañas de ataque y demuestra que los EK siguen siendo un aspecto del panorama de amenazas que debe tomarse en serio. También destaca que el malware se trata esencialmente como un negocio, y el desarrollo se realiza internamente para ahorrar dinero.

Apuntar a las vulnerabilidades no es una funcionalidad nueva para Purple Fox, ya que se ha observado que apunta a CVE–15982, CVE–6332, CVE–8174, CVE–1701 y CVE–81n su variante original. . La variante nueva y mejorada se observó por primera vez en septiembre de, cargada con dos nuevos exploits críticos de Microsoft de alta gravedad.

El primero de ellos, CVE–1458, permite la movilidad de elevación de privilegios locales en Windows. La segunda, CVE–0674, es una vulnerabilidad de Internet Explorer. Desde entonces, Microsoft ha parcheado ambas vulnerabilidades. Esto demuestra que los operadores de Purple Fox se mantienen al tanto de las vulnerabilidades actuales y actualizan el malware cuando hay nuevos disponibles, según los investigadores de ProofPoint.

El objetivo principal de Purple Fox es distribuir otro malware en los sistemas que infecta. Estos tipos de malware incluyen troyanos, ladrones de información, ransomware y criptomineros que pertenecen y son operados por lo que se ha denominado la pandilla Purple Fox.

¿Cómo funciona Zorro Púrpura?

El objetivo principal de este malware, al igual que otros EK, es explotar las vulnerabilidades para que Purple Fox pueda ejecutar PowerShell para descargar malware adicional en el sistema comprometido. La forma en que esto funciona para la infección inicial es que, normalmente, el usuario visita un sitio malicioso que contiene Purple Fox EK. Si el usuario tiene vulnerabilidades sin parches a las que se dirige Purple Fox, el malware se descarga de forma encubierta mientras el usuario se encuentra en el sitio malicioso. Normalmente, el tráfico a estos sitios maliciosos se genera mediante redireccionamientos de anuncios maliciosos (publicidad maliciosa) y correos electrónicos de phishing.

Una vez que la infección se ha arraigado (en el caso del exploit CVE–0674 de Internet Explorer de Windows 10), Purple Fox ataca el uso de jscript.dll en el navegador web, una biblioteca que el sistema operativo Windows necesita para funcionar. Luego, el malware procede a filtrar una dirección de RegExp ubicada con jscript.dll. Luego, el código JavaScript malicioso busca el encabezado PE jscript.dll, que se utiliza para localizar el descriptor de importación kernel32.dll que alberga la memoria y la manipulación del proceso que Purple Fox EK usó para cargar su código shell. Este shellcode luego encuentra WinExec y crea el proceso que realmente inicia la ejecución del malware.

Después de la ejecución, se ha observado que Purple Fox utiliza su capacidad de rootkit para ocultar sus entradas y archivos de registro después de reiniciar el sistema comprometido. Para habilitar sus componentes rootkit, este malware abusa del código fuente abierto y de su software de utilidad de archivos. Esto permite a Purple Fox ocultar su DLL para obstaculizar los intentos de ingeniería inversa y descifrado que los profesionales de seguridad de la información pueden estar realizando si se ha detectado a Purple Fox.

Cómo prevenir el zorro morado

Toda esta actividad de malware, por aterradora que parezca, fue causada por el simple hecho de utilizar un sistema sin parches para visitar un sitio malicioso. Cabe señalar que la prevención es definitivamente posible y, al igual que el método de infección, también es bastante fácil de lograr.

A continuación se presentan algunos consejos que le ayudarán a evitar que su sistema sea víctima de Purple Fox.

Conclusión

Los kits de explotación (EK) solían ser uno de los tipos de malware más utilizados en los últimos años. Últimamente, han seguido el camino del acceso telefónico, esencialmente eliminado por otro malware y herramientas que pueden hacer lo que hacen los EK y más. Purple Fox es un EK que utiliza la práctica comprobada de actualizarse periódicamente con nuevos exploits para mantenerse por delante del grupo de candidatos a sistemas comprometidos.

Si utiliza los consejos dados anteriormente, su sistema se destacará de este paquete y Purple Fox se detendrá en seco.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *