Aggiornamenti recenti Luglio 15th, 2025 3:23 PM
Mar 24, 2021 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS 0
Ancora SMB, ancora un rischio worm. A far suonare il campanello di allarme, questa volta, è una nuova versione di Purple Fox, un malware in circolazione dal marzo 2018 che, nella sua nuova variante, sfrutta una tecnica di attacco che lo trasforma, a tutti gli effetti, in un worm.
La nuova funzionalità ideata dai cyber criminali prende di mira i servizi Server Message Block (SMB), gli stessi alla base dell’exploit EternalBlue, puntando a compromettere quelli con password o hash “deboli”.
Secondo i ricercatori di Guardicore Labs, che illustrano le caratteristiche della nuova variante di Purple Fox in un report pubblicato sul sito ufficiale della società di sicurezza, l’evoluzione del malware ha portato a una amplificazione esponenziale della sua capacità di diffusione, portando a un aumento delle infezioni del 600%.
Gli attacchi utilizzerebbero una rete di oltre 2.000 server compromessi, che funzionerebbero come “tramploino di lancio” per Purple Fox.
Oltre a sfruttare il sistema di diffusione automatico tramite i servizi SMB vulnerabili, i pirati utilizzerebbero anche tecniche di phishing per diffondere il loro malware sul Web.
Una volta installato, Purple Firefox utilizza diverse tecniche per garantirsi persistenza sulla macchina compromessa e applica anche una modifica a Windows Firewall per inserire un filtro che blocca tutte le comunicazioni (TCP e UDP) sulle porte 445, 13 e 135. Un accorgimento che, secondo i ricercatori, avrebbe l’obiettivo di impedire attacchi da parte di altri malware “concorrenti”.
Per nascondere la sua presenza, il malware installa inoltre un rootkit chiamato Hidden, che “maschera” alcune chiavi di registro. Ironicamente, il rootkit utilizzato da Purple Fox è stato creato da un ricercatore di sicurezza che lo ha ideato allo scopo di nascondere le attività di scansione ai malware analizzati.
Successivamente all’installazione del rootkit, il malware riavvia la macchina e avvia una serie di scansioni sulla porta 445 per avviare attacchi di brute forcing ai servizi SMB disponibili in rete per cercare di infettare gli altri PC collegati in LAN.
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Gen 25, 2022 0
Lug 15, 2025 0
Lug 14, 2025 0
Lug 14, 2025 0
Lug 11, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 15, 2025 0
Nuova minaccia per le GPU: secondo un recente comunicato...Lug 14, 2025 0
I ricercatori di AG Security Research hanno individuato una...Lug 14, 2025 0
Nel corso di questa settimana, il CERT-AGID ha individuato...Lug 11, 2025 0
I ricercatori di PCA Cybersecurity hanno individuato un set...Lug 10, 2025 0
Una grave falla di sicurezza ha trasformato una sessione...