Actualités

Purple Fox : nouveau modus operandi du malware sous Windows qui étend sa viralité ! (what does the fox say…)

L’équipe sécuritaire Guardicore actualise ses bases : mis en lumière officiellement en Mars 2018, Purple Fox s’insinue dans Internet Explorer ou, plus largement, Windows. Fin d’année 2020, les chercheurs ont remarqué que le malware avait élargi sa palette d’action…

 

 

Bien qu’il semble que la fonctionnalité de Purple Fox n’ait pas beaucoup changé après l’exploitation, ses méthodes de diffusion et de distribution – et son comportement de ver – sont très différents […] nous avons observé une infrastructure qui semble être constituée d’un méli-mélo de serveurs vulnérables et exploités hébergeant la charge utile initiale du malware, de machines infectées qui servent de nœuds à ces campagnes de vermifugation constante et d’une infrastructure de serveur qui semble être lié à d’autres campagnes de logiciels malveillants“, indique le billet sécuritaire du 23 Mars 2021.

Le début reste inchangé : sous des allures de pseudo-fichier MSI (Update de Microsoft), Purple Fox fait fi des indicateurs de détection usuels de la machine (comme un anti-virus, par exemple) tout en empruntant un nom de fichier chinois. Une fois l’extraction-fichier finalisée, trois éléments se distinguent : deux charges utiles, respectivement, de 32 et 64 bits ainsi qu’un rookit chiffré (reposant sur “hidden”). Au moment des modifications de règles du pare-feu Windows (commande netsh), Purple Fox varie les plaisirs malveillants en créant une nouvelle règle ou filtre nommé Filter1 qui fera ainsi barrage aux ports 445, 139 et 135 en TCP / UDP de  se connecter ou d’être pointée vers 0.0.0.0… Un isolement établi auquel s’ajoutera l’intégration d’une “interface IPv6”, ajoute Guardicore.

Concernant, enfin, le rookit, il sert, également, à isoler le terminal infecté en occultant volontairement “diverses clés et valeurs de registre, fichiers etc…” tout en faisant une veille – malveillante – pro-active afin d’entretenir l’ensemble sous la forme de “tâches d’analyse“. En finalité, une fois que ces trois outils ont fait leur office, le terminal se réinitialise pour pouvoir mieux, ensuite, exécuter les actions ci-dessus pour permettre un nouveau téléchargement de Purple Fox depuis un des serveurs dédiés. Selon les dernières conclusions et recherches, quelques 2 000 serveurs auraient été mis à nu… A veiller !

 

 

Source : Guardicore – 23 Mars 2021 – Purple Fox : nouvelles façons de déployer sa viralité.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0