¿Qué es el malware Purple Fox y cómo se puede propagar a Windows?
Purple Fox se originó en 2018 como un troyano descargador sin archivos entregado por un kit de exploits que infectó más de 30,000 dispositivos.
Históricamente, requería algún tipo de interacción del usuario o herramientas de terceros para infectar dispositivos y se propagaba principalmente a través de phishing o kits de explotación. Sin embargo, este malware ha resucitado recientemente y se ha metamorfoseado en un gusano de Windows.
Entonces, ¿a qué tipo de dispositivos Windows se dirige Purple Fox? ¿Cómo podemos protegernos a nosotros mismos?
El zorro púrpura reinventado
Los desarrolladores de Purple Fox han reconfigurado este malware agregando un módulo de gusano. El ataque se inicia con un correo electrónico de phishing que entrega la carga útil del gusano que busca e infecta automáticamente los sistemas basados en Windows.
Este nuevo vector puede usar un ataque de fuerza bruta para acceder a un sistema simplemente escaneando puertos vulnerables. Una vez que se encuentra un puerto de destino, Purple Fox se infiltra en él y propaga la infección.
La organización de investigación líder en ciberseguridad, Guardicore Labs, confirma que se ha encontrado una nueva variante de gusano del Purple Fox.
¿Cómo infecta Purple Fox los dispositivos?
Los principales expertos de la industria creen que el malware Purple Fox ha agregado una nueva técnica de propagación que recurre a ataques de fuerza bruta SMB para infectar máquinas. Esta nueva variante de Purple Fox funciona escaneando los puertos expuestos de las computadoras con Windows orientadas a Internet con contraseñas que no son lo suficientemente fuertes.
Adivinando contraseñas débiles para las cuentas de usuario de Windows a través de SMB, la parte de la máquina que permite que Windows se comunique con otros dispositivos como servidores de archivos e impresoras, el malware se abre camino hacia un dispositivo vulnerable.
Una vez que Purple Fox ha accedido a un objetivo, instala sigilosamente un rootkit que mantiene el malware oculto dentro del dispositivo, lo que dificulta su detección. Luego genera una lista de direcciones IP y escanea Internet en busca de dispositivos en riesgo para infectar más, creando así una red cada vez mayor de dispositivos vulnerables.
¿Qué tipo de dispositivos basados en Windows están en riesgo?
La característica distintiva del nuevo malware Purple Fox es que se dirige a las máquinas que ejecutan el sistema operativo Microsoft Windows y reutiliza los dispositivos comprometidos para alojar el malware.
Actualmente, el malware Purple Fox se utiliza para distribuir ladrones de información, mineros criptográficos, ransomware y troyanos.
Según Guardicore Labs, la mayoría de los dispositivos afectados ejecutan versiones anteriores de Windows Server con Internet Information Services (IIS) versión 7.5 y Microsoft FTP y servidores que usan Microsoft RPC, Microsoft Server SQL Server 2008 R2 y Microsoft HTTP API httpd 2.0, y Servicio de terminal de Microsoft.
Cómo protegerse del ataque de un zorro morado
Estas son algunas de las mejores prácticas que pueden ayudarlo a mantenerse alejado de Purple Fox.
Observe los indicadores de compromiso (IoC)
Invertir en análisis forense de datos y analizar los indicadores públicos de compromiso puede ser el primer paso para mitigar el ataque de Purple Fox.
La mayoría de las herramientas de seguridad ya tienen IoC integradas en sus plataformas y, al mantenerse al día con los IoC recientes, puede descubrir fácilmente las filtraciones de datos y las infecciones de malware.
Los laboratorios de Guardicore también han publicado una lista pública de IoC en referencia a la amenaza de Purple Fox y han estado instando a los profesionales de la seguridad y a los cazadores de malware a consultarla con frecuencia.
Parche el gusano
Purple Fox tiene un atributo único: también ataca vulnerabilidades pasadas que ya fueron reparadas. Por lo tanto, es imperativo buscar amenazas en su entorno para eliminar infecciones anteriores.
Una vez que se descubren las infecciones, parchearlas y actualizarlas constantemente es la clave para prevenir este tipo de malware.
También debe considerar la aplicación de parches virtuales para sistemas o software heredados o integrados.
Realizar una auditoría de seguridad y de TI
La realización de auditorías de seguridad es una manera fácil de identificar debilidades y corregir posibles lagunas en los sistemas de seguridad.
Si trabaja para una gran empresa, se recomienda que el departamento de TI inspeccione todos los dispositivos, ya que Purple Fox se dirige principalmente a dispositivos vulnerables.
Emplear el principio de privilegio mínimo (POLP)
Para proteger las redes corporativas, el principio de privilegio mínimo debe implementarse restringiendo los controles de permisos. Es una buena práctica limitar el uso de herramientas que deben reservarse para administradores de sistemas y de TI.
Cuanto más restrictivas sean las políticas de seguridad, menores serán las posibilidades de invasión.
Implementar la supervisión del comportamiento
El monitoreo del comportamiento es una excelente manera de identificar actividades inusuales y administrarlas de manera proactiva.
La gestión de herramientas de comportamiento como Redscan puede analizar datos de una variedad de fuentes y emplear mecanismos de aprendizaje automático para identificar patrones de ataque.
Invierta en una caja de arena
Las cajas de arena son una excelente opción para prevenir malware como Purple Fox. Un sandbox puede poner en cuarentena archivos sospechosos y ayudar a analizarlos más a fondo.
Existen excelentes opciones de sandbox para investigar sitios web sospechosos, incluidos PhishCheck y VirusTotal . También puede probar Urlscan , un escáner gratuito que emplea un proceso automatizado para buscar URL y luego registrar la actividad.
Cortafuegos y sistemas de prevención de intrusiones
Se debe emplear una combinación de sistemas de detección de intrusiones como firewalls y sistemas de prevención de intrusiones (IPS) como McAfee Network Security Platform para analizar y monitorear el tráfico entrante y saliente en su red doméstica o laboral.
Implementar capacitación en concientización sobre ciberseguridad
Para mitigar una amenaza a la seguridad, primero debe poder detectarla. La implementación de capacitación en concientización sobre ciberseguridad tanto en su hogar como en su vida laboral debe ser una prioridad.
Los empleadores deben cultivar la capacitación en concienciación sobre ciberseguridad en todos los ámbitos: los empleados más ingenuos pueden representar los mayores riesgos al convertirse en blancos fáciles de ataques de phishing y descarga de malware.
Supera al zorro púrpura
Los ataques de Purple Fox están ganando impulso y el número total de dispositivos infectados asciende a la asombrosa cifra de 90.000. Su vector de infección más reciente busca las máquinas Windows que están conectadas activamente a Internet y tienen vulnerabilidades expuestas.
Vencer al astuto Zorro Púrpura y / o cualquier tipo de ciberataque no es tarea fácil, pero no te desanimes. Con solo un poco de práctica, un cierto grado de precaución y una gran cantidad de consejos y trucos para combatir a los piratas informáticos, ¡ciertamente puedes superar al Zorro Púrpura!