Purple Fox mit Wurmfortsatz

Eine aktualisierte Variante der Purple Fox-Malware mit Wurm-Funktionen wird in einer Angriffskampagne eingesetzt, die sich schnell ausweitet. Purple Fox, erstmals im Jahr 2018 entdeckt, ist eine Malware, die sich bisher auf Exploit-Kits und Phishing-E-Mails stützte, um sich zu verbreiten. Eine neue Kampagne, die in den letzten Wochen stattfand – und noch andauert – hat jedoch eine neue Verbreitungsmethode offenbart, die zu hohen Infektionszahlen führt.

In einem Blog-Beitrag am Dienstag erklärte Guardicore Labs, dass Purple Fox nun durch „wahlloses Port-Scanning und Ausnutzung exponierter SMB-Dienste mit schwachen Passwörtern und Hashes verbreitet wird.“

Das Schadprogramm Purple Fox infiziert anfällige Windows-Systeme durch Exploit- oder Phishing-Attacken. Die Sicherheitsexperten von Guardicore Labs haben jetzt einen weiteren Angriffsvektor der Malware erkannt, bei dem auch SMB-Passwörter von Windows-Systemen per Brute-Force-Angriff geknackt werden.

Die Malware Purple Fox nutzt ein Rootkit, um erfolgreiche Infektionen auf den betroffenen IT-Systemen zu verbergen und ein Entfernen des Schadprogramms zu erschweren. Mittlerweile gibt es ein Netzwerk von rund 2.000 kompromittierten Servern, mit denen die unbekannten Angreifer schädliche Payloads und Dropper verteilen. Im Wesentlichen handelt es sich dabei um Webserver mit Microsoft Internet Information Services (IIS) 7.5.

Ende 2020 verzeichnete Guardicore den Versuch der Purple-Fox-Entwickler, nach anfälligen SMB-Diensten (Server Message Block) und schwachen Passwörtern oder Hash-Verfahren zu scannen. Folge: Seit Mai 2020 ist die Zahl der Infektionen um circa 600 Prozent auf insgesamt 90.000 Attacken gestiegen.

Guardicore Sicherheitsanalyse zeigt, dass der Wurm-Payload entweder über einen anfälligen Netzwerkdienst oder einen Phishing-Angriff auf eine Browser-Schwachstelle ausgeführt wird. Purple Fox tarnt sich als Windows-Update-Paket und umgeht statische Signatur-Erkennungsmethoden. Im Verlauf des Installationsprozesses auf kompromittierten Rechnern ändert die Malware die Windows-Firewall-Regeln, um mehrere Befehle, Port-Scans und Vorbereitungen für weitere Angriffe steuern zu können.

Das MSI-Installationsprogramm der Malware tarnt sich als Windows-Update-Paket mit unterschiedlichen Hashes, eine Funktion, die das Forscherteam als „billige und einfache“ Methode bezeichnet, um zu vermeiden, dass die Installationsprogramme der Malware bei Untersuchungen miteinander in Verbindung gebracht werden. Insgesamt werden dann drei Payloads extrahiert und entschlüsselt. Eine davon manipuliert die Windows-Firewall-Funktionen, und es werden Filter erstellt, um eine Reihe von Ports zu blockieren – möglicherweise, um zu verhindern, dass der anfällige Server erneut mit anderer Malware infiziert wird.

Außerdem wird eine IPv6-Schnittstelle installiert, um Ports zu scannen und „die Effizienz der Ausbreitung über (in der Regel nicht überwachte) IPv6-Subnetze zu maximieren“, so das Team, bevor ein Rootkit geladen und der Zielrechner neu gestartet wird. Purple Fox wird in eine System-DLL geladen und beim Booten ausgeführt. Purple Fox generiert dann IP-Bereiche und beginnt mit Scans auf Port 445, um sich zu verbreiten. „Wenn die Maschine auf die SMB-Sonde antwortet, die auf Port 445 gesendet wird, wird sie versuchen, sich bei SMB zu authentifizieren, indem sie Benutzernamen und Passwörter erzwingt oder versucht, eine Null-Sitzung aufzubauen“, so die Forscher.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

10 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

14 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

15 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

15 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

18 Stunden ago