Purple Fox mit Wurmfortsatz

Eine aktualisierte Variante der Purple Fox-Malware mit Wurm-Funktionen wird in einer Angriffskampagne eingesetzt, die sich schnell ausweitet. Purple Fox, erstmals im Jahr 2018 entdeckt, ist eine Malware, die sich bisher auf Exploit-Kits und Phishing-E-Mails stützte, um sich zu verbreiten. Eine neue Kampagne, die in den letzten Wochen stattfand – und noch andauert – hat jedoch eine neue Verbreitungsmethode offenbart, die zu hohen Infektionszahlen führt.

In einem Blog-Beitrag am Dienstag erklärte Guardicore Labs, dass Purple Fox nun durch „wahlloses Port-Scanning und Ausnutzung exponierter SMB-Dienste mit schwachen Passwörtern und Hashes verbreitet wird.“

Das Schadprogramm Purple Fox infiziert anfällige Windows-Systeme durch Exploit- oder Phishing-Attacken. Die Sicherheitsexperten von Guardicore Labs haben jetzt einen weiteren Angriffsvektor der Malware erkannt, bei dem auch SMB-Passwörter von Windows-Systemen per Brute-Force-Angriff geknackt werden.

Die Malware Purple Fox nutzt ein Rootkit, um erfolgreiche Infektionen auf den betroffenen IT-Systemen zu verbergen und ein Entfernen des Schadprogramms zu erschweren. Mittlerweile gibt es ein Netzwerk von rund 2.000 kompromittierten Servern, mit denen die unbekannten Angreifer schädliche Payloads und Dropper verteilen. Im Wesentlichen handelt es sich dabei um Webserver mit Microsoft Internet Information Services (IIS) 7.5.

Ende 2020 verzeichnete Guardicore den Versuch der Purple-Fox-Entwickler, nach anfälligen SMB-Diensten (Server Message Block) und schwachen Passwörtern oder Hash-Verfahren zu scannen. Folge: Seit Mai 2020 ist die Zahl der Infektionen um circa 600 Prozent auf insgesamt 90.000 Attacken gestiegen.

Guardicore Sicherheitsanalyse zeigt, dass der Wurm-Payload entweder über einen anfälligen Netzwerkdienst oder einen Phishing-Angriff auf eine Browser-Schwachstelle ausgeführt wird. Purple Fox tarnt sich als Windows-Update-Paket und umgeht statische Signatur-Erkennungsmethoden. Im Verlauf des Installationsprozesses auf kompromittierten Rechnern ändert die Malware die Windows-Firewall-Regeln, um mehrere Befehle, Port-Scans und Vorbereitungen für weitere Angriffe steuern zu können.

Das MSI-Installationsprogramm der Malware tarnt sich als Windows-Update-Paket mit unterschiedlichen Hashes, eine Funktion, die das Forscherteam als „billige und einfache“ Methode bezeichnet, um zu vermeiden, dass die Installationsprogramme der Malware bei Untersuchungen miteinander in Verbindung gebracht werden. Insgesamt werden dann drei Payloads extrahiert und entschlüsselt. Eine davon manipuliert die Windows-Firewall-Funktionen, und es werden Filter erstellt, um eine Reihe von Ports zu blockieren – möglicherweise, um zu verhindern, dass der anfällige Server erneut mit anderer Malware infiziert wird.

Außerdem wird eine IPv6-Schnittstelle installiert, um Ports zu scannen und „die Effizienz der Ausbreitung über (in der Regel nicht überwachte) IPv6-Subnetze zu maximieren“, so das Team, bevor ein Rootkit geladen und der Zielrechner neu gestartet wird. Purple Fox wird in eine System-DLL geladen und beim Booten ausgeführt. Purple Fox generiert dann IP-Bereiche und beginnt mit Scans auf Port 445, um sich zu verbreiten. „Wenn die Maschine auf die SMB-Sonde antwortet, die auf Port 445 gesendet wird, wird sie versuchen, sich bei SMB zu authentifizieren, indem sie Benutzernamen und Passwörter erzwingt oder versucht, eine Null-Sitzung aufzubauen“, so die Forscher.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

ZDNet.de Redaktion

Recent Posts

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

2 Stunden ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

2 Stunden ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

19 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago