Aggiornamenti recenti Settembre 24th, 2021 2:58 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacco a Kaseya: l’FBI avrebbe potuto salvare tutti ma non l’ha fatto
- Figuraccia Apple: la patch per macOS aggirata da… una maiuscola!
- Aggiornamento urgente per VMware
- Estorsione tramite un devastante attacco DDoS a VoIP.ms
- L’ennesima crypto-truffa sfrutta il nome di Elon Musk
Purple Fox diventa un worm: ecco la nuova tecnica che usa
Gli autori del malware hanno integrato un sistema di diffusione automatizzato che sfrutta le vulnerabilità a livello di Server Message Block.
Ancora SMB, ancora un rischio worm. A far suonare il campanello di allarme, questa volta, è una nuova versione di Purple Fox, un malware in circolazione dal marzo 2018 che, nella sua nuova variante, sfrutta una tecnica di attacco che lo trasforma, a tutti gli effetti, in un worm.
La nuova funzionalità ideata dai cyber criminali prende di mira i servizi Server Message Block (SMB), gli stessi alla base dell’exploit EternalBlue, puntando a compromettere quelli con password o hash “deboli”.
Secondo i ricercatori di Guardicore Labs, che illustrano le caratteristiche della nuova variante di Purple Fox in un report pubblicato sul sito ufficiale della società di sicurezza, l’evoluzione del malware ha portato a una amplificazione esponenziale della sua capacità di diffusione, portando a un aumento delle infezioni del 600%.
Gli attacchi utilizzerebbero una rete di oltre 2.000 server compromessi, che funzionerebbero come “tramploino di lancio” per Purple Fox.
Oltre a sfruttare il sistema di diffusione automatico tramite i servizi SMB vulnerabili, i pirati utilizzerebbero anche tecniche di phishing per diffondere il loro malware sul Web.
Una volta installato, Purple Firefox utilizza diverse tecniche per garantirsi persistenza sulla macchina compromessa e applica anche una modifica a Windows Firewall per inserire un filtro che blocca tutte le comunicazioni (TCP e UDP) sulle porte 445, 13 e 135. Un accorgimento che, secondo i ricercatori, avrebbe l’obiettivo di impedire attacchi da parte di altri malware “concorrenti”.
Per nascondere la sua presenza, il malware installa inoltre un rootkit chiamato Hidden, che “maschera” alcune chiavi di registro. Ironicamente, il rootkit utilizzato da Purple Fox è stato creato da un ricercatore di sicurezza che lo ha ideato allo scopo di nascondere le attività di scansione ai malware analizzati.
Successivamente all’installazione del rootkit, il malware riavvia la macchina e avvia una serie di scansioni sulla porta 445 per avviare attacchi di brute forcing ai servizi SMB disponibili in rete per cercare di infettare gli altri PC collegati in LAN.
Condividi l'articolo
Attenzione ai fleeceware: fenomeno in crescita su iOS e Android
General Electric: vulnerabilità critiche nei dispositivi di controllo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Viaggi nello spazio e cybersecurity I viaggi nello spazio diventeranno presto la norma, poiché... -
La collaborazione è la chiave del futuro successo, o... Una recente ricerca paneuropea* ha evidenziato che quasi la... -
I chip spia cinesi nei server di Supermicro? Forse ci... Una nuova inchiesta di Bloomberg riprende la vicenda. Il... -
Deepfake: come possono difendersi le aziende? L’utilizzo di app basate su algoritmi di AI per la... -
Check Point: dopo il Covid il rischio è una pandemia cyber Il nuovo scenario del panorama IT delinea priorità e...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Attacco a Kaseya: l’FBI avrebbe potuto salvare tutti ma... Il Federal Bureau of Investigation aveva tra le mani un... -
Figuraccia Apple: la patch per macOS aggirata da… una... Gli sviluppatori di Cupertino sbagliano l’aggiornamento e... -
Aggiornamento urgente per VMware L’azienda allerta gli utenti: vCenter Server soffre di... -
Estorsione tramite un devastante attacco DDoS a VoIP.ms I pirati informatici hanno preso di mira i server DNS... -
L’ennesima crypto-truffa sfrutta il nome di Elon Musk Abbandonati i social, i pirati informatici sfruttano...
Attacco a Kaseya: l’FBI avrebbe potuto salvare tutti ma non l’ha fatto
Il Federal Bureau of Investigation aveva tra le mani un... Continua →
Vocabolario della sicurezza
