Purple Fox

El descargador de troyanos Purple Fox es una amenaza que ha estado en el radar de los investigadores de malware desde 2018. Hasta ahora, los expertos creen que este troyano ha logrado cobrar más de 30.000 víctimas en todo el mundo. Los creadores del troyano Purple Fox han actualizado su amenaza y ahora están empleando el RIG Exploit Kit para inyectar su creación en los hosts objetivo. La carga útil del descargador del troyano Purple Fox ya no depende de la herramienta de instalación NSIS, sino de los comandos de PowerShell. De esta manera, los atacantes se han asegurado de que toda la operación sea más silenciosa y menos probable que los investigadores o las herramientas anti-malware los detecten. Los operadores del troyano Purple Fox tienden a usarlo para plantar amenazas de minería criptográfica principalmente en los hosts comprometidos. Sin embargo, este descargador de troyanos también se puede utilizar para plantar amenazas mucho más dañinas. Los Exploit Kits (EK) no han estado entre las amenazas de ciberseguridad de tendencia recientemente. Sin embargo, una familia de programas maliciosos de descargadores sin archivos entregados a través de kits de explotación conocidos en el pasado como Purple Fox ahora está tratando de volver a aparecer en los titulares. El año pasado, más de 30.000 usuarios se convirtieron en víctimas de Purple Fox, mientras que a principios de este mes, los investigadores de malware se encontraron con una nueva variante que ha agregado algunos exploits más de Microsoft a su arsenal anterior. El objetivo principal de este malware sigue siendo, como antes, implementar otras amenazas de malware en los sistemas de destino, como troyanos, ransomware, mineros criptográficos y ladrones de información. Anteriormente, las amenazas de la familia de malware Purple Fox eran entregadas por el kit de explotación de terceros RIG. Sin embargo, desde 2019, los operadores de Purple Fox cambiaron a Microsoft PowerShell para entregar y recuperar malware, lo que convierte a esta amenaza en un reemplazo del RIG EK. La nueva variante mejorada de Purple Fox ahora puede explotar dos vulnerabilidades adicionales de Microsoft: la primera permite la elevación de privilegios locales y se llama CVE-2019-1458; el segundo, CVE-2020-0674, es una brecha de seguridad en Internet Explorer. Aunque ambos ya han sido parcheados, la voluntad de los propietarios de Purple Fox de mantenerse al tanto de las vulnerabilidades actuales sin parches indica a los investigadores de malware que aún deben mantener los kits de explotación en su radar.

Exploits utilizados por el troyano Purple Fox

Es probable que los administradores del descargador del troyano Purple Fox empleen otros métodos de propagación, además del uso del RIG Exploit Kit . Los expertos creen que el troyano Purple Fox también se puede propagar a través de campañas de publicidad maliciosa, así como descargas falsas. Actualmente, el RIG Exploit Kit utilizado en la propagación del troyano Purple Fox está comprobando a las víctimas en busca de varias vulnerabilidades:

• Explotación de VBScript - CVE-2018-8174.
• Explotación de Adobe Flash - CVE-2018-15982.
• Explotación de Internet Explorer: CVE-2014-6332.
• Si la cuenta infiltrada no tiene permisos de administrador, la amenaza buscará CVE-2018-8120 y CVE-2015-1701.

Al igual que las versiones anteriores del descargador de Purple Fox, esta variante tiene archivos con privilegios de administrador, que luego se utilizan para enmascarar su existencia en el sistema imitando archivos similares ya presentes en el host, en la instancia, a través de controladores corruptos.

Purple Fox aprovecha las vulnerabilidades a través de Microsoft PowerShell

Para llevar a cabo sus acciones maliciosas, Purple Fox ataca vulnerabilidades sin parche para ejecutar PowerShell y descargar malware adicional en sistemas insuficientemente protegidos. Un ataque de este tipo suele iniciarse cuando un usuario visita un sitio web dañado que ha sido inyectado con un script malicioso de Purple Fox. El malware detecta las vulnerabilidades que necesita para comprometer el sistema y luego se infiltra en la máquina de destino mientras el usuario todavía está en el sitio web dado. Por lo general, los usuarios llegan a páginas tan peligrosas después de ser redirigidos por anuncios maliciosos o correos electrónicos no deseados. Cuando la infección se ha producido mediante la explotación de la vulnerabilidad de Windows CVE-2020-0674, Purple Fox se dirige a la biblioteca "jscript.dll", que utiliza el navegador web de la computadora. Luego, el malware extrae una dirección de RegExp en esa biblioteca, encuentra el encabezado jscript.dll PE y luego ubica el descifrador de importación con la ayuda del cual Purple Fox ha cargado su código de shell en la máquina. Este shellcode luego encuentra WinExec y crea un proceso que inicia la ejecución real del malware. Luego, Purple Fox usa sus capacidades de rootkit para ocultar sus entradas de registro y archivos después de reiniciar el sistema. Los investigadores han observado que Purple Fox habilita sus componentes de rootkit al abusar de un código de fuente abierta, lo que ayuda al malware a ocultar su DLL y evitar la ingeniería inversa.

Puedes evitar el zorro morado

Obviamente, los usuarios pueden evitar ser víctimas del malware Purple Fox y otros kits de exploits similares siguiendo algunos sencillos consejos. El primero sería mantener siempre actualizado su sistema Windows instalando los últimos parches para las vulnerabilidades conocidas. Monitorear y restringir los privilegios a las herramientas de administrador permitiría hacer cumplir el principio de privilegio mínimo. Además, una solución anti-malware profesional que ofrece capas avanzadas de seguridad podrá desarmar amenazas como Purple Fox. Los usuarios deben empezar a tomarse la ciberseguridad más en serio. Una de las recomendaciones más comunes de los investigadores de malware es mantener actualizado todo su software. Desafortunadamente, la mayoría de los usuarios en línea consideran que esto es una tarea demasiado tediosa. Sin embargo, si todas sus aplicaciones están actualizadas, una amenaza como el descargador del troyano Purple Fox no podrá infiltrarse en su sistema, ya que depende de las vulnerabilidades que se encuentran en el software desactualizado. Además, asegúrese de que haya una solución antimalware legítima, que lo ayudará a detectar y eliminar cualquier aplicación no deseada.