Purple Fox

Der Purple Fox-Trojaner-Downloader ist eine Bedrohung, die seit 2018 auf dem Radar von Malware-Forschern steht. Bisher glauben Experten, dass dieser Trojaner es geschafft hat, weltweit über 30.000 Opfer zu fordern. Die Entwickler des Purple Fox-Trojaners haben ihre Bedrohung aktualisiert und verwenden jetzt das RIG Exploit Kit, um ihre Kreation auf die Zielhosts zu übertragen. Die Nutzlast des Purple Fox-Trojaner-Downloaders hängt nicht mehr vom NSIS-Installationstool ab, sondern von PowerShell-Befehlen. Auf diese Weise haben die Angreifer dafür gesorgt, dass der gesamte Vorgang leiser wird und weniger wahrscheinlich von Forschern oder Anti-Malware-Tools entdeckt wird. Die Betreiber des Purple Fox-Trojaners verwenden ihn in der Regel, um Crypto-Mining-Bedrohungen hauptsächlich auf die gefährdeten Hosts zu übertragen. Dieser Trojaner-Downloader kann jedoch auch zum Einpflanzen weitaus schädlicherer Bedrohungen verwendet werden. Exploit Kits (EK) gehörten in letzter Zeit nicht zu den angesagten Bedrohungen der Cybersicherheit. Eine Malware-Familie von fileless Downloadern, die über Exploit-Kits bereitgestellt wurden, die in der Vergangenheit als Purple Fox bekannt waren, versucht nun erneut, Schlagzeilen zu machen. Im vergangenen Jahr wurden über 30.000 Benutzer Opfer von Purple Fox, während Malware-Forscher Anfang dieses Monats auf eine neue Variante stießen, die ihr bisheriges Arsenal um einige weitere Microsoft-Exploits erweitert hat. Das Hauptziel dieser Malware besteht nach wie vor darin, andere Malware-Bedrohungen auf Zielsystemen wie Trojanern, Ransomware, Crypto Miner und Info-Stealern bereitzustellen. Zuvor wurden Bedrohungen aus der Purple Fox-Malware-Familie vom Drittanbieter-Exploit-Kit RIG bereitgestellt. Seit 2019 wechselten die Betreiber von Purple Fox jedoch zu Microsoft PowerShell, um Malware zu liefern und abzurufen, was diese Bedrohung zu einem Ersatz für RIG EK machte. Die neue hochgefahrene Variante von Purple Fox kann jetzt zwei zusätzliche Microsoft-Sicherheitslücken ausnutzen - die erste ermöglicht die Erhöhung lokaler Berechtigungen und heißt CVE-2019-1458. Die zweite, CVE-2020-0674, ist eine Sicherheitslücke in Internet Explorer. Obwohl beide bereits gepatcht wurden, signalisiert die Bereitschaft der Besitzer von Purple Fox, die aktuellen ungepatchten Sicherheitslücken im Auge zu behalten, Malware-Forschern, dass sie weiterhin Exploit-Kits auf ihrem Radar behalten sollten.

Vom Purple Fox-Trojaner verwendete Exploits

Es ist wahrscheinlich, dass die Administratoren des Purple Fox-Trojaner-Downloaders neben der Verwendung des RIG Exploit Kits andere Weitergabemethoden anwenden. Experten glauben, dass der Purple Fox-Trojaner auch über Werbekampagnen sowie gefälschte Downloads verbreitet werden kann. Derzeit überprüft das RIG Exploit Kit, das bei der Verbreitung des Purple Fox-Trojaners verwendet wird, die Opfer auf verschiedene Sicherheitslücken:

  • VBScript-Exploit - CVE-2018-8174.
  • Adobe Flash-Exploit - CVE-2018-15982.
  • Internet Explorer-Exploit - CVE-2014-6332.
  • Wenn das infiltrierte Konto keine Administratorrechte besitzt, sucht die Bedrohung nach CVE-2018-8120 und CVE-2015-1701.

Ähnlich wie in früheren Versionen des Purple Fox-Downloaders verfügt diese Variante über Dateien mit Administratorrechten, die dann verwendet werden, um ihre Existenz auf dem System zu maskieren, indem ähnliche Dateien, die bereits auf dem Host vorhanden sind, über beschädigte Treiber imitiert werden.

Purple Fox nutzt Sicherheitslücken über Microsoft PowerShell aus

Um seine böswilligen Aktionen auszuführen, greift Purple Fox nicht gepatchte Sicherheitslücken an, um PowerShell auszuführen und zusätzliche Malware auf unzureichend geschützten Systemen herunterzuladen. Ein solcher Angriff wird normalerweise ausgelöst, wenn ein Benutzer eine beschädigte Website besucht, der ein schädliches Purple Fox-Skript injiziert wurde. Die Malware erkennt die Sicherheitslücken, die erforderlich sind, um das System zu gefährden, und infiltriert dann den Zielcomputer, während sich der Benutzer noch auf der angegebenen Website befindet. In der Regel landen Benutzer auf solchen gefährlichen Seiten, nachdem sie von böswilligen Anzeigen oder Spam-E-Mails umgeleitet wurden. Wenn die Infektion durch Ausnutzen der Windows-Sicherheitsanfälligkeit CVE-2020-0674 aufgetreten ist, zielt Purple Fox auf die Bibliothek „jscript.dll" ab, die vom Webbrowser des Computers verwendet wird. Anschließend extrahiert die Malware eine Adresse aus RegExp in dieser Bibliothek, findet den PE-Header jscript.dll und sucht dann den Importentschlüsseler, mit dessen Hilfe Purple Fox seinen Shellcode auf den Computer geladen hat. Dieser Shellcode findet dann WinExec und erstellt einen Prozess, der die eigentliche Malware-Ausführung startet. Anschließend verwendet Purple Fox seine Rootkit-Funktionen, um seine Registrierungseinträge und -dateien nach einem Systemneustart auszublenden. Forscher haben festgestellt, dass Purple Fox seine Rootkit-Komponenten durch Missbrauch eines Open-Source-Codes aktiviert, wodurch die Malware ihre DLL versteckt und Reverse Engineering verhindert.

Sie können Purple Fox vermeiden

Offensichtlich können Benutzer vermeiden, Opfer von Purple Fox-Malware und anderen ähnlichen Exploit-Kits zu werden, indem sie einige einfache Tipps befolgen. Das erste wäre, das Windows-System immer auf dem neuesten Stand zu halten, indem die neuesten Patches für bekannte Sicherheitslücken installiert werden. Das Überwachen und Einschränken von Berechtigungen auf Administrator-Tools würde die Durchsetzung des Prinzips der geringsten Berechtigungen ermöglichen. Außerdem kann eine professionelle Anti-Malware-Lösung, die erweiterte Sicherheitsebenen bietet, Bedrohungen wie Purple Fox entschärfen. Benutzer müssen die Cybersicherheit ernst nehmen. Eine der häufigsten Empfehlungen von Malware-Forschern ist, Ihre gesamte Software auf dem neuesten Stand zu halten. Leider empfindet die Mehrheit der Online-Benutzer dies als zu mühsame Aufgabe. Wenn jedoch alle Ihre Anwendungen auf dem neuesten Stand sind, kann eine Bedrohung wie der Purple Fox-Trojaner-Downloader Ihr System nicht infiltrieren, da er auf Schwachstellen in veralteter Software beruht. Stellen Sie außerdem sicher, dass eine legitime Anti-Malware-Lösung vorhanden ist, mit der Sie unerwünschte Anwendungen erkennen und entfernen können.

Verbundener Beitrag

Im Trend

Am häufigsten gesehen

Wird geladen...