Individuato per la prima volta nel 2018, il codice maligno Purple Fox è tornato di recente a farsi notare con una campagna evoluta in modo da arrivare a prendere di mira le macchine con piattaforma Windows. Ad avvistare nuovamente il malware sono stati i ricercatori di Guardicore Labs che oggi pubblicano un report in merito.
Purple Fox, una nuova variante del malware
In passato la componente ha fatto leva soprattutto su metodi legati al phishing per diffondersi, ma la nuova variante confezionata dai cybercriminali si spinge oltre, impiegando ciò che viene definito un “port scanning indiscriminato” e compromettendo servizi SMB (Server Message Block) esposti dall’utilizzo di password deboli. Dotato di un vero e proprio modulo worm, il suo obiettivo è quello di sfruttare poi sistemi colpiti per ospitare e distribuire i payload. Oltre 2.000 i server già operativi.
Il grafico qui sotto mostra il volume degli incidenti conseguenti all’attività di Purple Fox rilevati dal Guardicore Global Sensors Network nell’ultimo periodo: è piuttosto netto l’incremento registrato da maggio 2020 in poi, tanto da raggiungere un totale complessivo pari a 90.000 attacchi.
Talvolta, per mettere a segno l’infezione, il codice maligno viene inserito in un file MSI camuffato da pacchetto di Windows Update. Successivamente prende di mira il firewall agendo su determinate porte e installa un’interfaccia IPv6 dedicata al port scanning così da favorirne la diffusione. Il codice viene inserito in una DLL di sistema in modo che venga eseguito il caricamento all’avvio del computer.