ALERTA: Ataques a sistemas Windows mediante el MALWARE PURPLE FOX

Purple Fox, un malware que anteriormente se distribuía a través de kits de explotación y correos electrónicos de phishing, ahora ha agregado un módulo de gusano que le permite escanear e infectar sistemas Windows accesibles a través de Internet en ataques en curso.

Purple Fox, una nueva amenaza que escanea Windows expuestos

SERVICIOS AFECTADOS:

• Windows Server IIS versión 7.5
• Microsoft FTP
• Microsoft RPC
• Microsoft Server SQL Server 2008 R2
• Microsoft HTTPAPI httpd 2.0
• Microsoft Terminal Service

DETALLES TÉCNICOS:

CVE:  

Severidad: ALTA

A partir de mayo de 2020, los ataques de Purple Fox se han intensificado significativamente, alcanzando un total de 90,000 ataques. Los intentos de exploración y explotación de puertos activos del malware comenzaron a fines del año pasado en función de la telemetría recopilada mediante Guardicore Global Sensors Network (GGSN).

El módulo de gusano recién agregado de Purple Fox utiliza la fuerza bruta de la contraseña SMB para infectarlo. Si bien el nuevo comportamiento similar a un gusano de Purple Fox le permite infectar servidores mediante la fuerza bruta para ingresar a través de servicios SMB vulnerables expuestos a Internet, también está utilizando campañas de phishing y vulnerabilidades del navegador web para implementar sus payloads.

Fuente: Guardicore Labs

Antes de reiniciar los dispositivos infectados y ganar persistencia, Purple Fox instala un módulo de rootkit que utiliza el rootkit oculto de código abierto para ocultar archivos y carpetas caídos o entradas de registro de Windows creadas en los sistemas infectados. Después de implementar el rootkit y reiniciar el dispositivo, el malware cambiará el nombre de su payload DLL para que coincida con una DLL del sistema Windows y la configurará para que se inicie al iniciar el sistema. Una vez que el malware se ejecuta al iniciar el sistema, cada uno de los sistemas infectados exhibirá posteriormente el mismo comportamiento similar a un gusano, escaneando continuamente Internet en busca de otros objetivos e intentando comprometerlos y agregarlos a la botnet.

A medida que la máquina responde a la sonda SMB que se envía en el puerto 445, intentará autenticarse en SMB mediante fuerza bruta de nombres de usuario y contraseñas o intentando establecer una sesión nula. Si la autenticación es exitosa, el malware creará un servicio cuyo nombre coincida con la expresión regular AC0 [0-9] {1}, por ejemplo, AC01, AC02, AC05 que descargará el paquete de instalación de MSI de uno de los muchos servidores HTTP y con ello, completará el ciclo de infección.

Indicadores de Compromiso

Para acceder a la lista completa de IoC hacer click aquí.

This image has an empty alt attribute; its file name is Recomendacion.jpg

Para el personal de seguridad de información:

• Restringir la comunicación SMB (tcp/445) tanto entrante y saliente del perímetro. Además asegúrese de habilitar la firma SMB.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IOCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.

** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente: http://securitysummitperu.com/articulos/malware-purple-fox-ataca-sistemas-windows/

¡Compártelo con tus amigos con el botón al final de la página!

Si te ha gustado ¡Vamos! SUSCRÍBETE a continuación:

CONTÁCTANOS

android Apple Ataques Malware ciberdelincuencia CiberSeguridad Desarrollo Diversion Eventos Facebook Google Hacking Hardware Innovacion Inteligencia Artificial inter Internet Iphone Legal linux Mac Malware Microsoft Movil Multimedia-TV-IOT Móvil Móviles Navegadores Novedades nube Programacion Ransoware Redes informáticas Redes Sociales Seguridad Seguridad en Internet Seguridad Movil Sistemas Operativos Tecnologia Tips Tips Móvil Uso de Smartphone utiles vulnerabilidades Window Windows

Deja una respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: