Вредонос Purple Fox активно атакует уязвимые системы Windows

Вредоносное ПО Purple Fox, ранее распространявшееся с помощью наборов эксплойтов и фишинговых писем, теперь получило червеобразный модуль. Новая функция позволяет вредоносному ПО в ходе атак сканировать и атаковать системы под управлением Windows, доступные в Сети.

Вредоносная программа Purple Fox впервые была обнаружена в 2018 году после заражения более 30 тыс. устройств. Вредонос обладает возможностями руткита и бэкдора и используется в качестве загрузчика для других вредоносных программ. По словам исследователей безопасности из Guardicore Labs, начиная с мая 2020 года, число атак Purple Fox возросло на 600%, достигнув цифры в 90 тыс. атак.

Согласно телеметрии Guardicore Global Sensors Network (GGSN), активное сканирование портов и попытки использования вредоносного ПО начались в конце прошлого года. После обнаружения уязвимой системы под управлением Windows в Сети, новый модуль Purple Fox осуществляет брут-форс атаку через протокол Server Message Block (SMB).

По данным экспертов, в настоящее время операторы Purple Fox развернули свою вредоносную программу на почти 2 тыс. взломанных серверов. К пострадавшим устройствам относятся системы под управлением Windows Server, серверы с Microsoft RPC, Microsoft Server SQL Server 2008 R2 и Microsoft HTTPAPI httpd 2.0, а также Microsoft Terminal Service.

Перед перезапуском зараженных устройств и обеспечением персистентности Purple Fox также устанавливает модуль, использующий скрытый руткит с открытым исходным кодом для сокрытия удаленных файлов, папок и записей реестра Windows, созданных на зараженных системах. После запуска руткита и перезагрузки устройства вредоносная программа переименовывает полезную нагрузку своей DLL-библиотеки в соответствии с системной DLL-библиотекой Windows и настраивает ее для запуска при включении системы.