Операторы ботнета Purple Fox изменили метод распространения вредоноса и начали взламывать Windows-устройства путем брутфорса пароля Server Message Block (SMB). Об этом сообщили исследователи из Guardicore.
🧵👇 It’s here! Our Labs team unveils new distribution methods discovered for #PurpleFox, an active malware campaign targeting Windows machines. Great work @0xAmit and @OphirHarpaz 👏
Link: 👉https://t.co/aCiwsiE57h pic.twitter.com/3AzpIDxkO4
— Guardicore has new research out on #PurpleFox (@Guardicore) March 23, 2021
Хакерская кампания продолжается с 2018 года и изначально использовала наборы эксплойтов и фишинговые письма. Свойства червя ботнет приобрел только в конце 2020 года.
Purple Fox сканирует порты и незащищенные сервисы SMB со слабыми паролями и хешами, взламывая их методом перебора. Проникнув на компьютер жертвы, операторы вредоноса строят ботнет, основная задача которого — скрытый майнинг криптовалюты.
Руткит затрудняет обнаружение и удаление вредоноса.
Guardicore Labs определили обширную сеть скомпрометированных серверов Microsoft IIS 7.5, на которых размещены [simple_tooltip content=’вредоносная программа, задачей которой является несанкционированная и скрытая от пользователя установка на компьютер других вредоносных программ (или других частей вредоносного комплекса), содержащихся в теле дроппера’]дроппер[/simple_tooltip] Purple Fox и его полезные данные.
Специалист Guardicore Амит Серпер опубликовал подробную информацию об атаках Purple Fox, прикрепив также индикаторы компрометации, которые позволят пострадавшим выявить признаки присутствия червя.
Ранее в марте эксперты «Лаборатории Касперского» зафиксировали новую вредоносную программу, угоняющую мощности систем на базе ОС Windows для майнинга криптовалюты Monero.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.
ForkLog
Автор: Лена Джесс
