Aggiornamenti recenti Aprile 14th, 2021 4:14 PM
Mar 24, 2021 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS 0
Ancora SMB, ancora un rischio worm. A far suonare il campanello di allarme, questa volta, è una nuova versione di Purple Fox, un malware in circolazione dal marzo 2018 che, nella sua nuova variante, sfrutta una tecnica di attacco che lo trasforma, a tutti gli effetti, in un worm.
La nuova funzionalità ideata dai cyber criminali prende di mira i servizi Server Message Block (SMB), gli stessi alla base dell’exploit EternalBlue, puntando a compromettere quelli con password o hash “deboli”.
Secondo i ricercatori di Guardicore Labs, che illustrano le caratteristiche della nuova variante di Purple Fox in un report pubblicato sul sito ufficiale della società di sicurezza, l’evoluzione del malware ha portato a una amplificazione esponenziale della sua capacità di diffusione, portando a un aumento delle infezioni del 600%.
Gli attacchi utilizzerebbero una rete di oltre 2.000 server compromessi, che funzionerebbero come “tramploino di lancio” per Purple Fox.
Oltre a sfruttare il sistema di diffusione automatico tramite i servizi SMB vulnerabili, i pirati utilizzerebbero anche tecniche di phishing per diffondere il loro malware sul Web.
Una volta installato, Purple Firefox utilizza diverse tecniche per garantirsi persistenza sulla macchina compromessa e applica anche una modifica a Windows Firewall per inserire un filtro che blocca tutte le comunicazioni (TCP e UDP) sulle porte 445, 13 e 135. Un accorgimento che, secondo i ricercatori, avrebbe l’obiettivo di impedire attacchi da parte di altri malware “concorrenti”.
Per nascondere la sua presenza, il malware installa inoltre un rootkit chiamato Hidden, che “maschera” alcune chiavi di registro. Ironicamente, il rootkit utilizzato da Purple Fox è stato creato da un ricercatore di sicurezza che lo ha ideato allo scopo di nascondere le attività di scansione ai malware analizzati.
Successivamente all’installazione del rootkit, il malware riavvia la macchina e avvia una serie di scansioni sulla porta 445 per avviare attacchi di brute forcing ai servizi SMB disponibili in rete per cercare di infettare gli altri PC collegati in LAN.
Apr 14, 2021 0
Apr 13, 2021 0
Apr 12, 2021 0
Apr 09, 2021 0
Apr 08, 2021 0
Mar 12, 2021 0
Feb 09, 2021 0
Gen 28, 2021 0
Feb 16, 2021 0
Una nuova inchiesta di Bloomberg riprende la vicenda. Il...Nov 11, 2020 0
L’utilizzo di app basate su algoritmi di AI per la...Ott 22, 2020 0
Il nuovo scenario del panorama IT delinea priorità e...Ott 05, 2020 0
Cosa significa la sua istituzione, come è stato...Lug 01, 2020 0
Lo dice il Thales Data Threat Report 2020. Le aziende...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 14, 2021 0
Operazione senza precedenti del Bureau, che ha deciso di...Apr 13, 2021 0
Il nuovo studio di Check Point mette in evidenza le...Apr 12, 2021 0
Il malware era inserito in alcune app pubblicate sullo...Apr 09, 2021 0
La manifestazione quest’anno si è tenuta in Texas. Ecco...Apr 08, 2021 0
La backdoor è stata installata tramite un aggiornamento di...Operazione senza precedenti del Bureau, che ha deciso di agire... Continua →