Purple Fox, el malware que se detectó en 2018 y conocido por infectar máquinas usando kits de exploit y correos de phishing, no ha cambiado mucho. En la fase de post explotación sigue presentando las mismas características, pero ahora con el fin de propagarse. Su comportamiento es el de un gusano, lo que le permite distribuir el malware mucho más rápido. En el 2020 y en lo que va del 2021, se han identificado más de 90,000 casos de infección con Purple Fox.

El malware entra a los equipos víctima aprovechándose de un servicio expuesto y vulnerable a fuerza bruta sobre el campo de nombre y contraseña, como el servicio de SMB. Después de explotar la vulnerabilidad, instala un módulo de rootkit para ocultar los archivos descargados o las entradas al registro de Windows creadas en los sistemas infectados. El malware renombra el payload de su DLL para simular un DLL del sistema de Windows y posteriormente ser iniciado junto con el sistema.

Una vez infectado el equipo, el malware bloquea los puertos 445, 139 y 135, pareciendo un intento de prevenir que la máquina sea reinfectada o explotada por otra amenaza.

En la siguiente fase, Purple Fox comienza su propagación generando rangos de direcciones IP y escaneando el puerto 445, utilizando las sondas para identificar dispositivos vulnerables en internet con contraseñas débiles y entrando a ellos por fuerza bruta. Posteriormente, los integra a su botnet.

Uno de los indicadores de compromiso identificados en este malware, es que crea un servicio que concuerda con la expresión regular “AC0[0-9]{1}” por lo que hay que estar al pendiente de servicios con nombres como “AC01”, “AC02”, “AC05”.

Referencias:
https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/
https://thehackernews.com/2021/03/purple-fox-rootkit-can-now-spread.html
https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox