Purple Fox

Le téléchargeur du cheval de Troie Purple Fox est une menace qui est sur le radar des chercheurs de logiciels malveillants depuis 2018. Jusqu'à présent, les experts estiment que ce cheval de Troie a réussi à faire plus de 30 000 victimes dans le monde. Les créateurs du cheval de Troie Purple Fox ont mis à jour leur menace et utilisent maintenant le RIG Exploit Kit pour injecter leur création dans les hôtes ciblés. La charge utile du téléchargeur Purple Fox Trojan ne dépend plus de l'outil d'installation NSIS, mais plutôt des commandes PowerShell. De cette façon, les attaquants se sont assurés de rendre toute l'opération plus silencieuse et moins susceptible d'être repérée par des chercheurs ou des outils anti-malware. Les opérateurs du cheval de Troie Purple Fox ont tendance à l'utiliser principalement pour planter des menaces de crypto-minage sur les hôtes compromis. Cependant, ce téléchargeur de chevaux de Troie peut également être utilisé pour planter des menaces beaucoup plus nuisibles. Les kits d'exploit (EK) ne font pas partie des menaces de cybersécurité les plus courantes récemment. Pourtant, une famille de logiciels malveillants de téléchargeurs sans fichier livrés via des kits d'exploitation connus dans le passé sous le nom de Purple Fox tente maintenant de faire la une des journaux. L'année dernière, plus de 30000 utilisateurs ont été victimes de Purple Fox, tandis qu'au début du mois, des chercheurs de logiciels malveillants sont tombés sur une nouvelle variante qui a ajouté quelques exploits supplémentaires de Microsoft à son arsenal précédent. L'objectif principal de ce malware reste, comme avant, de déployer d'autres menaces de malwares sur les systèmes cibles, comme les chevaux de Troie, les ransomwares, les crypto-mineurs et les voleurs d'informations. Auparavant, les menaces de la famille de logiciels malveillants Purple Fox étaient diffusées par le kit d'exploit tiers RIG. Depuis 2019, cependant, les opérateurs de Purple Fox sont passés à Microsoft PowerShell pour diffuser et récupérer des logiciels malveillants, faisant de cette menace un remplacement du RIG EK. La nouvelle variante accélérée de Purple Fox peut désormais exploiter deux vulnérabilités Microsoft supplémentaires - la première permet l'élévation des privilèges locaux et s'appelle CVE-2019-1458; le second, CVE-2020-0674, est une faille de sécurité dans Internet Explorer. Bien que les deux aient déjà été corrigés, la volonté des propriétaires de Purple Fox de rester au courant des vulnérabilités non corrigées actuelles signale aux chercheurs de logiciels malveillants qu'ils devraient toujours garder les kits d'exploitation sur leur radar.

Exploits utilisés par le cheval de Troie Purple Fox

Il est probable que les administrateurs du téléchargeur de Purple Fox Trojan utilisent d'autres méthodes de propagation, en dehors de l'utilisation du RIG Exploit Kit . Les experts estiment que le cheval de Troie Purple Fox peut également être propagé via des campagnes de publicité malveillante, ainsi que de faux téléchargements. Actuellement, le kit d'exploit RIG utilisé dans la propagation du cheval de Troie Purple Fox vérifie les victimes pour plusieurs vulnérabilités:

• Exploit VBScript - CVE-2018-8174.
• Exploit Adobe Flash - CVE-2018-15982.
• Exploit Internet Explorer - CVE-2014-6332.
• Si le compte infiltré ne dispose pas des autorisations d'administrateur, la menace recherchera CVE-2018-8120 et CVE-2015-1701.

Semblable aux versions précédentes du téléchargeur Purple Fox, cette variante contient des fichiers avec des privilèges d'administrateur, qui sont ensuite utilisés pour masquer son existence sur le système en imitant des fichiers similaires déjà présents sur l'hôte, dans l'instance, via des pilotes corrompus.

Purple Fox exploite des vulnérabilités via Microsoft PowerShell

Afin de mener ses actions malveillantes, Purple Fox attaque des vulnérabilités non corrigées pour exécuter PowerShell et télécharger des logiciels malveillants supplémentaires sur des systèmes insuffisamment protégés. Une telle attaque est généralement lancée lorsqu'un utilisateur visite un site Web corrompu qui a été injecté avec un script malveillant Purple Fox. Le logiciel malveillant détecte les vulnérabilités dont il a besoin pour compromettre le système, puis a infiltré la machine cible alors que l'utilisateur est toujours sur le site Web donné. En règle générale, les utilisateurs atterrissent sur de telles pages dangereuses après avoir été redirigés par des publicités malveillantes ou des courriers indésirables. Lorsque l'infection s'est produite en exploitant la vulnérabilité Windows CVE-2020-0674, Purple Fox cible la bibliothèque «jscript.dll», qui est utilisée par le navigateur Web de l'ordinateur. Ensuite, le logiciel malveillant extrait une adresse de RegExp dans cette bibliothèque, trouve l'en-tête jscript.dll PE, puis localise le décrypteur d'importation à l'aide duquel Purple Fox a chargé son shellcode sur la machine. Ce shellcode trouve ensuite WinExec et crée un processus qui lance l'exécution réelle du malware. Ensuite, Purple Fox utilise ses capacités de rootkit pour masquer ses entrées de registre et ses fichiers après un redémarrage du système. Les chercheurs ont observé que Purple Fox active ses composants de rootkit en abusant d'un code open-source, ce qui aide le malware à cacher sa DLL et à empêcher la rétro-ingénierie.

Vous pouvez éviter le renard violet

De toute évidence, les utilisateurs peuvent éviter d'être victimes du malware Purple Fox et d'autres kits d'exploitation similaires en suivant quelques conseils simples. Le premier serait de toujours garder leur système Windows à jour en installant les derniers correctifs pour les vulnérabilités connues. La surveillance et la restriction des privilèges aux outils d'administrateur permettraient d'appliquer le principe du moindre privilège. En outre, une solution anti-malware professionnelle qui offre des couches de sécurité avancées sera en mesure de désarmer des menaces telles que Purple Fox. Les utilisateurs doivent commencer à prendre la cybersécurité plus au sérieux. L'une des recommandations les plus courantes des chercheurs de logiciels malveillants est de maintenir tous vos logiciels à jour. Malheureusement, la majorité des utilisateurs en ligne trouvent que cette tâche est trop fastidieuse. Cependant, si toutes vos applications sont à jour, une menace comme le téléchargeur Purple Fox Trojan ne pourra pas s'infiltrer dans votre système car elle repose sur des vulnérabilités trouvées dans des logiciels obsolètes. Assurez-vous également qu'une solution anti-malware légitime est présente, ce qui vous aidera à détecter et à supprimer toutes les applications indésirables.