Análisis de malware

Rootkit Purple Fox y cómo se ha diseminado en la naturaleza

30 de marzo de por Pedro Tavares

El rootkit Purple Fox ha sido un arma poderosa y maliciosa activa desde marzo de y cubierto como un kit de exploits. Este malware actúa como un binario que se puede eliminar con gusanos. También evade las defensas haciéndose pasar por software legítimo y puede permanecer sigiloso durante mucho tiempo debido a sus capacidades de rootkit.

El malware Purple Fox utiliza técnicas de ingeniería social, como phishing y Spearphishing, para atacar a sus víctimas y ampliar su alcance utilizando la capacidad de gusano recientemente implementada. Aunque no se detectaron muchos cambios en las variantes conocidas de este malware, esta vez también se hace pasar por software legítimo y lo elimina como una forma de evadir su detección. Esta práctica no es nueva y troyanos bancarios populares como Javali y URSA han utilizado esta técnica para eludir el perímetro de seguridad.

Los vehículos de distribución típicos de la primera etapa son campañas de phishing, mensajes de spam en foros, publicaciones en redes sociales, comentarios (Youtube y Facebook) y sitios web de descarga de software no confiables. Algunas de las campañas observadas involucraron a las marcas WhatsApp y Telegram. A continuación se muestra el diagrama de alto nivel de las nuevas olas de Purple Fox.

1: Diagrama de alto nivel del rootkit Purple Fox: enero de ( fuente ).

Profundizando en los detalles

Como se ilustra arriba, Purple Fox se hace pasar por software legítimo; en este objeto de análisis, un binario de AutoIT se hace pasar por el instalador de Telegram. Este tipo de enfoque ha sido utilizado por las bandas cibernéticas en los últimos años, incluido el troyano URSA TTP . La primera etapa de Purple Fox, el archivo binario, coloca en una nueva carpeta dos binarios adicionales: (i) un archivo legítimo del software Telegram y (ii) un descargador malicioso llamado TextInputh.exe. En detalle, el binario de Telegram nunca se usa, solo se usa para confundir su análisis. Sin embargo, el binario TextInputh.exe es el descargador para la siguiente etapa.

Durante la ejecución, se crea una nueva carpeta y se descargan dos archivos nuevos desde el servidor de Comando y Control (CC) en línea:

1. ” 1.ra r”: un archivo comprimido con otros archivos en su interior.
2. ” 7zz.exe “: un archivo legítimo utilizado para descomprimir el archivo “1.rar”.

2: Archivos dentro del archivo “1.rar”.

Luego de ejecutar el proceso anterior, el archivo “TextInputh.exe” realiza las siguientes tareas:

• El archivo “360.tct” (una DLL) cambia de nombre a “360.dll” y se mueve a la carpeta ProgramData junto con los archivos rundll3222.exe y svchost.txt.
• Después de eso, ojbk.exe se ejecuta con el argumento “-a”.
• Se eliminan los archivos “1.rar” y “7zz.exe”.

Como se describe en la investigación de Minerva , cuando se ejecuta con el parámetro “-a”, la DLL se carga mediante la forma reflectante. Después de su ejecución, también se eliminan los archivos adicionales que funcionan juntos, a saber:

• calldriver.exe : un binario capaz de finalizar la ejecución de 360 ​​AV.
• driver.sys : archivo responsable de crear un nuevo controlador llamado “Driver” en la máquina infectada.
• dll.dll : una DLL ejecutada después de la omisión de UAC. En este caso, se utiliza la conocida técnica de interfaz COM CMSTPLUA. ” Esta técnica es comúnmente utilizada por los autores de ransomware LockBit y BlackMatter “, dijeron los investigadores de Minerva.
• speedmem2.hg : un archivo SQLite.
• kill.bat : archivos de limpieza de la casa ejecutados al final del proceso.

3: Contenido del archivo kill.bat ejecutado al final del proceso malicioso.

A primera vista, estos archivos se ejecutan juntos para bloquear la detección de 360 ​​AV y permitir la ejecución sigilosa del rootkit Purple Fox.

Después de ejecutar la última etapa, el rootkit Purple Fox, algunos procesos antivirus finalizan. Para ello se combinan inicialmente los siguientes procesos:

4: Procesos antivirus finalizados durante la ejecución del rootkit Purple Fox.

Como era de esperar, los delincuentes son notificados durante la ejecución del malware y toda la información recopilada se envía al servidor C2.

Cuando se aloja con éxito en el lado de la víctima, el rootkit Purple Fox puede explorar las vulnerabilidades de las SMB y las máquinas de acceso adyacentes intentando contraseñas débiles y escaneando puertos de otras redes, un proceso bien conocido descubierto en cuando se detectó por primera vez.

5: Intentos de autenticación SMB del rootkit Purple Fox.

El rootkit está equipado con una función de gusano capaz de utilizar las aplicaciones de correo electrónico de las víctimas y difundir la amenaza en la naturaleza para propagarse.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Entendiendo al zorro morado

El rootkit Purple Fox está en aumento y está equipado con el TTP más avanzado para permanecer sigiloso en las máquinas de las víctimas, evadiendo así la defensa de ciberseguridad. Con la capacidad de gusano implementada, esta amenaza puede diseminarse libremente y dirigirse a más usuarios sin esfuerzo adicional por parte de los operadores de malware.

Aunque no existe una fórmula perfecta para detener el malware en general, se pueden tomar algunas medidas para prevenir la infección de malware, a saber:

• No ejecute archivos proporcionados desde fuentes desconocidas.
• Mantenga el software actualizado, incluidos los sistemas AV y EDR.
• Comparte el “mal presentimiento” con los equipos de seguridad cuando suceda algo extraño. Por ejemplo, si ejecuta un único archivo binario y la computadora se reinicia.
• Haga que la capacitación sobre malware y phishing sea una regla obligatoria en su vida porque todos usan Internet y los servicios en línea todos los días.

Tomémonos en serio la protección contra malware y seamos proactivos.

Fuentes:

• Purple Fox se propaga como un gusano , Exclusive Networks
• Rootkit PF , Guardicore
• Análisis de rootkit PurpleFox , Minerva Labs