Purple Fox mit Wurmfortsatz

Eine aktualisierte Variante der Purple Fox-Malware mit Wurm-Funktionen wird in einer Angriffskampagne eingesetzt, die sich schnell ausweitet. Purple Fox, erstmals im Jahr 2018 entdeckt, ist eine Malware, die sich bisher auf Exploit-Kits und Phishing-E-Mails stützte, um sich zu verbreiten. Eine neue Kampagne, die in den letzten Wochen stattfand – und noch andauert – hat jedoch eine neue Verbreitungsmethode offenbart, die zu hohen Infektionszahlen führt.

In einem Blog-Beitrag am Dienstag erklärte Guardicore Labs, dass Purple Fox nun durch „wahlloses Port-Scanning und Ausnutzung exponierter SMB-Dienste mit schwachen Passwörtern und Hashes verbreitet wird.“

Das Schadprogramm Purple Fox infiziert anfällige Windows-Systeme durch Exploit- oder Phishing-Attacken. Die Sicherheitsexperten von Guardicore Labs haben jetzt einen weiteren Angriffsvektor der Malware erkannt, bei dem auch SMB-Passwörter von Windows-Systemen per Brute-Force-Angriff geknackt werden.

Die Malware Purple Fox nutzt ein Rootkit, um erfolgreiche Infektionen auf den betroffenen IT-Systemen zu verbergen und ein Entfernen des Schadprogramms zu erschweren. Mittlerweile gibt es ein Netzwerk von rund 2.000 kompromittierten Servern, mit denen die unbekannten Angreifer schädliche Payloads und Dropper verteilen. Im Wesentlichen handelt es sich dabei um Webserver mit Microsoft Internet Information Services (IIS) 7.5.

Ende 2020 verzeichnete Guardicore den Versuch der Purple-Fox-Entwickler, nach anfälligen SMB-Diensten (Server Message Block) und schwachen Passwörtern oder Hash-Verfahren zu scannen. Folge: Seit Mai 2020 ist die Zahl der Infektionen um circa 600 Prozent auf insgesamt 90.000 Attacken gestiegen.

Guardicore Sicherheitsanalyse zeigt, dass der Wurm-Payload entweder über einen anfälligen Netzwerkdienst oder einen Phishing-Angriff auf eine Browser-Schwachstelle ausgeführt wird. Purple Fox tarnt sich als Windows-Update-Paket und umgeht statische Signatur-Erkennungsmethoden. Im Verlauf des Installationsprozesses auf kompromittierten Rechnern ändert die Malware die Windows-Firewall-Regeln, um mehrere Befehle, Port-Scans und Vorbereitungen für weitere Angriffe steuern zu können.

Das MSI-Installationsprogramm der Malware tarnt sich als Windows-Update-Paket mit unterschiedlichen Hashes, eine Funktion, die das Forscherteam als „billige und einfache“ Methode bezeichnet, um zu vermeiden, dass die Installationsprogramme der Malware bei Untersuchungen miteinander in Verbindung gebracht werden. Insgesamt werden dann drei Payloads extrahiert und entschlüsselt. Eine davon manipuliert die Windows-Firewall-Funktionen, und es werden Filter erstellt, um eine Reihe von Ports zu blockieren – möglicherweise, um zu verhindern, dass der anfällige Server erneut mit anderer Malware infiziert wird.

Außerdem wird eine IPv6-Schnittstelle installiert, um Ports zu scannen und „die Effizienz der Ausbreitung über (in der Regel nicht überwachte) IPv6-Subnetze zu maximieren“, so das Team, bevor ein Rootkit geladen und der Zielrechner neu gestartet wird. Purple Fox wird in eine System-DLL geladen und beim Booten ausgeführt. Purple Fox generiert dann IP-Bereiche und beginnt mit Scans auf Port 445, um sich zu verbreiten. „Wenn die Maschine auf die SMB-Sonde antwortet, die auf Port 445 gesendet wird, wird sie versuchen, sich bei SMB zu authentifizieren, indem sie Benutzernamen und Passwörter erzwingt oder versucht, eine Null-Sitzung aufzubauen“, so die Forscher.