O que é malware Purple Fox e como ele pode se espalhar para o Windows?
O Purple Fox se originou em 2018 como um trojan downloader sem arquivo entregue por um kit de exploração que infectou mais de 30.000 dispositivos.
Historicamente, ele exigia algum tipo de interação do usuário ou ferramentas de terceiros para infectar dispositivos e se espalhava principalmente por meio de phishing ou kits de exploração. No entanto, esse malware recentemente ressuscitou e se metamorfoseou em um worm do Windows.
Então, que tipo de dispositivo Windows o Purple Fox tem como alvo? Como podemos nos proteger?
A raposa roxa reinventada
Os desenvolvedores do Purple Fox reconfiguraram esse malware adicionando um módulo worm. O ataque é iniciado com um e-mail de phishing que entrega a carga útil do worm que verifica e infecta automaticamente os sistemas baseados no Windows.
Este novo vetor pode usar um ataque de força bruta para acessar um sistema simplesmente procurando por portas vulneráveis. Assim que uma porta de destino é encontrada, o Purple Fox se infiltra nela e propaga a infecção.
A principal organização de pesquisa em segurança cibernética, Guardicore Labs, confirma que uma nova variante do worm do Fox Roxo foi de fato encontrada.
Como o Purple Fox infecta dispositivos?
Os principais especialistas do setor acreditam que o malware Purple Fox adicionou uma nova técnica de propagação que recorre a ataques de força bruta SMB para infectar máquinas. Esta nova variante do Purple Fox funciona escaneando as portas expostas de computadores Windows voltados para a Internet com senhas que não são fortes o suficiente.
Ao adivinhar senhas fracas para contas de usuário do Windows por meio do SMB – a parte da máquina que permite ao Windows se comunicar com outros dispositivos como servidores de arquivos e impressoras – o malware abre caminho até um dispositivo vulnerável.
Assim que o Purple Fox acessa um alvo, ele instala furtivamente um rootkit que mantém o malware escondido dentro do dispositivo, dificultando sua detecção. Em seguida, ele gera uma lista de endereços IP e verifica a Internet em busca de dispositivos em risco para infectar ainda mais, criando assim uma rede cada vez maior de dispositivos vulneráveis.
Que tipo de dispositivos baseados no Windows estão em risco?
A característica distintiva do novo malware Purple Fox é que ele tem como alvo máquinas que executam o sistema operacional Microsoft Windows e reaproveita os dispositivos comprometidos para hospedar o malware.
Atualmente, o malware Purple Fox está sendo usado para distribuir ladrões de informações, mineradores de criptografia, ransomware e cavalos de Tróia.
De acordo com o Guardicore Labs, a maioria dos dispositivos afetados está executando versões mais antigas do Windows Server com Internet Information Services (IIS) versão 7.5 e FTP da Microsoft e servidores usando Microsoft RPC, Microsoft Server SQL Server 2008 R2 e Microsoft HTTP API httpd 2.0, e Serviço de Terminal Microsoft.
Como se proteger de um ataque de raposa roxa
Aqui estão algumas práticas recomendadas que podem ajudá-lo a evitar o Fox Roxo.
Observe os Indicadores de Compromisso (IoC)
Investir em análise forense de dados e analisar os indicadores públicos de comprometimento pode ser o primeiro passo para mitigar o ataque do Fox Roxo.
A maioria das ferramentas de segurança já tem IoCs integrados em suas plataformas e, acompanhando os IoCs recentes, você pode descobrir facilmente violações de dados e infecções por malware.
Os laboratórios da Guardicore também publicaram uma lista pública de IoCs em referência à ameaça Purple Fox e têm pedido aos profissionais de segurança e caçadores de malware que a consultem com frequência.
Patch the Worm
Purple Fox tem um atributo único: ele também ataca vulnerabilidades passadas que já foram corrigidas. Portanto, é imperativo caçar seu ambiente para eliminar infecções anteriores.
Uma vez que as infecções são descobertas, corrigir e atualizá-las constantemente é a chave para prevenir esse tipo de malware.
Você também deve procurar patching virtual para sistemas ou software legados ou incorporados.
Realizar uma auditoria de segurança e TI
A realização de auditorias de segurança é uma maneira fácil de identificar pontos fracos e corrigir possíveis lacunas nos sistemas de segurança.
Se você trabalha para uma grande empresa, recomenda-se que todos os dispositivos sejam inspecionados pelo departamento de TI, pois o Purple Fox visa principalmente dispositivos vulneráveis.
Empregar o Princípio de Menor Privilégio (POLP)
Para proteger as redes corporativas, o princípio do privilégio mínimo deve ser implementado restringindo os controles de permissão. É uma prática recomendada limitar o uso de ferramentas que devem ser reservadas para TI e administradores de sistema.
Quanto mais restritivas as políticas de segurança, menores são as chances de invasão.
Implantar monitoramento de comportamento
O monitoramento comportamental é uma ótima maneira de localizar atividades incomuns e gerenciá-las de forma proativa.
Gerenciar ferramentas comportamentais como Redscan pode analisar dados de uma variedade de fontes e empregar mecanismos de aprendizado de máquina para identificar padrões de ataque.
Invista em uma caixa de areia
Sandboxes são uma ótima opção para prevenir malware como o Purple Fox. Uma sandbox pode colocar arquivos suspeitos em quarentena e ajudar a analisá-los melhor.
Existem ótimas opções de sandbox para investigar sites suspeitos, incluindo PhishCheck e VirusTotal . Você também pode experimentar o Urlscan , um scanner gratuito que emprega um processo automatizado para navegar em URLs e registrar a atividade.
Firewalls e sistemas de prevenção de intrusões
Uma combinação de sistemas de detecção de intrusão, como firewalls e Intrusion Prevention Systems (IPS), como o McAfee Network Security Platform, deve ser empregada para analisar e monitorar o tráfego de entrada e saída em sua rede doméstica ou de trabalho.
Implementar treinamento de conscientização sobre segurança cibernética
Para atenuar uma ameaça à segurança, você precisa ser capaz de detectá-la primeiro. A implementação de treinamento de conscientização sobre segurança cibernética para sua vida doméstica e profissional deve ser uma prioridade.
Os empregadores devem cultivar o treinamento de conscientização sobre segurança cibernética em todas as áreas: funcionários mais ingênuos podem representar os maiores riscos ao se tornarem alvos fáceis para ataques de phishing e download de malware.
Outfox the Purple Fox
Os ataques do Purple Fox agora estão ganhando força e o número total de dispositivos infectados chega a impressionantes 90.000. Seu mais novo vetor de infecção persegue máquinas Windows que estão ativamente conectadas à Internet e apresentam vulnerabilidades expostas.
Vencer a astuta Raposa Roxa e / ou qualquer tipo de ataque cibernético não é tarefa fácil, mas não desanime. Com apenas um pouco de prática, um certo grau de cautela e um monte de dicas e truques no combate a hackers, você certamente pode enganar o Fox Roxo!
