Varian terbaru dari malware Purple Fox kini hadir dengan kemampuan worm (dapat menyebarkan dirinya sendiri) dalam operasi serangannya yang berkembang pesat.
Purple Fox, pertama kali ditemukan pada tahun 2018, merupakan malware yang dulunya mengandalkan exploit kit dan email phishing untuk penyebarannya. Namun, operasi baru yang berlangsung selama beberapa minggu terakhir – dan saat ini masih sedang berlangsung – dikabarkan menggunakan metode penyebaran baru yang mengarah ke angka infeksi yang tinggi.
Dalam sebuah posting blog, Guardicore Labs mengatakan bahwa Purple Fox sekarang sedang disebarkan melalui “pemindaian port tanpa pandang bulu dan eksploitasi layanan SMB yang terekspos dengan kata sandi dan hash yang lemah.”
Berdasarkan telemetri Guardicore Global Sensors Network (GGSN), aktivitas Purple Fox mulai meningkat pada Mei 2020. Meskipun ada jeda antara November 2020 dan Januari 2021, para peneliti mengatakan jumlah infeksi secara keseluruhan telah meningkat sekitar 600% dan total serangan saat ini bertahan di angka 90.000.
Malware tersebut menargetkan mesin Microsoft Windows dan menggunakan kembali sistem yang telah disusupi untuk menjadi host muatan berbahaya. Guardicore Labs mengatakan “server-server yang rentan dan tereksploitasi” menghosting muatan malware tahap awal, banyak di antaranya menjalankan Windows Server versi lawas dengan Internet Information Services (IIS) versi 7.5 dan Microsoft FTP.
Rantai infeksi biasanya dimulai melalui layanan rentan yang terhubung ke internet, seperti SMB, eksploitasi browser yang dikirim melalui phishing, serangan brute-force, atau penyebaran melalui rootkit termasuk RIG.
Sampai sekarang, hampir 2.000 server telah berhasil dibajak oleh operator malware Purple Fox.
Baca Juga: “Malware Dari Agent Tesla Kini Hadir Dengan Penerapan Teknik Baru“
Peneliti Guardicore Labs mengatakan bahwa setelah eksekusi kode telah dicapai pada mesin target, persistensi dikelola melalui pembuatan layanan baru dengan perintah berulang dan menarik muatan Purple Fox dari URL berbahaya.
Secara total, tiga muatan kemudian diekstraksi dan didekripsi. Salah satunya dilengkapi dengan kemampuan mengotak-ngatik firewall dan filter Windows untuk memblokir sejumlah port dalam upaya untuk menghentikan server yang rentan agar tidak terinfeksi ulang dengan malware lain.
Antarmuka IPv6 juga dipasang untuk tujuan pemindaian port dan untuk “memaksimalkan efisiensi subnet IPv6 yang tersebar (biasanya tidak terpantau),” catat tim, sebelum rootkit dimuat dan mesin target di-restart. Lalu Purple Fox dimuat ke dalam sistem DLL untuk dieksekusi saat booting.
Purple Fox kemudian akan menghasilkan rentang IP dan mulai memindai pada port 445 untuk penyebarannya.
“Saat mesin merespons probe SMB yang dikirim pada port 445, ia akan mencoba untuk mengotentikasi ke SMB dengan brute-force atau dengan mencoba membuat sesi null,” kata para peneliti.
Penginstal trojan/rootkit telah mengadopsi steganografi untuk menyembunyikan biner local privilege escalation (LPE) dalam serangan sebelumnya.
Indicators of Compromise (IoC) terkait malware ini tersedia di GitHub.
