به گزارش ایمنا، بدافزار Purple Fox، اولین بار در سال ۲۰۱۸ کشف شد، Purple Fox بدافزاری است که قبلاً برای انتشار به مجموعهای از کدهای مخرب و ایمیلهای فیشینگ متکی بود، اما اکنون مانند ماژولهای کرم مانند است. با این حال، یک اتفاق جدید در طی چند هفته گذشته رخ داده که یک روش جدید انتشار این بدافزار را نشان میدهد که منجر به آلودگی تعداد زیادی رایانه میشود.
بدافزار Purple Fox به سیستمهای ضعیف حمله میکند
روز سه شنبه، آزمایشگاههای Guardicore اعلام کردند که Purple Fox از طریق اسکن و بهره برداری بی رویه از سرویسهای SMB در معرض دید با گذرواژههای ضعیف در حال انتشار است. بر اساس گزارشات Guardicore، فعالیت Purple Fox در ماه مه سال ۲۰۲۰ شروع به افزایش کرد. در حالی که بین نوامبر ۲۰۲۰ و ژانویه ۲۰۲۱ فعالیتی نداشت، محققان میگویند تعداد کلی حملهها تقریباً ۶۰۰ درصد افزایش یافته و کل حملات در حال حاضر در ۹۰ هزار سیستم ثبت شده اند.
این بدافزار رایانههایی با سیستم عامل ویندوز را هدف قرار داده و سیستمهای آسیب دیده را برای میزبانی از محمولههای مخرب مورد استفاده مجدد قرار میدهد. آزمایشگاه Guardicore میگوید: "سرورهای آسیب پذیر و مورد حمله واقع شده میزبان اولیه بدافزار هستند که بسیاری از آنها نسخههای قدیمی ویندوز سرور را با خدمات اطلاعات اینترنت (IIS) نسخه ۷.۵ و Microsoft FTP اجرا میکنند."
محققان آزمایشگاههای Guardicore میگویند که هنگامی که اجرای کد بر روی یک ماشین هدف به دست آمد، با ایجاد سرویس جدیدی که دستورات را حلقه میکند و بارهای فاکس بنفش را از URLهای مخرب بیرون میکشد و به این ترتیب ادامه حمله مدیریت میشود. نصب کننده MSI بدافزار خود را به عنوان یک بسته Windows Update به هشهای مختلف تبدیل میکند، ویژگی که تیم آن را یک روش ارزان و ساده مینامد.
محققان میگویند: "همانطور که دستگاه به کاوشگر SMB ارسال شده در پورت ۴۴۵ پاسخ میدهد، سعی میکند با نام کاربری و رمزهای عبور بی رحمانه یا با ایجاد یک جلسه خالی، به SMB احراز هویت شود."
منبع: باشگاه خبرنگاران جوان
نظر شما