Aggiornamenti recenti Settembre 9th, 2025 11:43 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub per distribuire malware
- Una vulnerabilità critica di SAP S/4HANA è stata sfruttata dai cybecriminali
- CERT-AGID 30 agosto-5 settembre: campagne contro INPS e Agenzia delle Entrate
- Gli U.S.A. offrono 10 milioni di dollari per tre cybercriminali russi
- Hexstrike AI, nuovo tool di OffSec, è già stato preso di mira dal cybercrimine
Purple Fox diventa un worm: ecco la nuova tecnica che usa
Gli autori del malware hanno integrato un sistema di diffusione automatizzato che sfrutta le vulnerabilità a livello di Server Message Block.
Ancora SMB, ancora un rischio worm. A far suonare il campanello di allarme, questa volta, è una nuova versione di Purple Fox, un malware in circolazione dal marzo 2018 che, nella sua nuova variante, sfrutta una tecnica di attacco che lo trasforma, a tutti gli effetti, in un worm.
La nuova funzionalità ideata dai cyber criminali prende di mira i servizi Server Message Block (SMB), gli stessi alla base dell’exploit EternalBlue, puntando a compromettere quelli con password o hash “deboli”.
Secondo i ricercatori di Guardicore Labs, che illustrano le caratteristiche della nuova variante di Purple Fox in un report pubblicato sul sito ufficiale della società di sicurezza, l’evoluzione del malware ha portato a una amplificazione esponenziale della sua capacità di diffusione, portando a un aumento delle infezioni del 600%.
Gli attacchi utilizzerebbero una rete di oltre 2.000 server compromessi, che funzionerebbero come “tramploino di lancio” per Purple Fox.
Oltre a sfruttare il sistema di diffusione automatico tramite i servizi SMB vulnerabili, i pirati utilizzerebbero anche tecniche di phishing per diffondere il loro malware sul Web.
Una volta installato, Purple Firefox utilizza diverse tecniche per garantirsi persistenza sulla macchina compromessa e applica anche una modifica a Windows Firewall per inserire un filtro che blocca tutte le comunicazioni (TCP e UDP) sulle porte 445, 13 e 135. Un accorgimento che, secondo i ricercatori, avrebbe l’obiettivo di impedire attacchi da parte di altri malware “concorrenti”.
Per nascondere la sua presenza, il malware installa inoltre un rootkit chiamato Hidden, che “maschera” alcune chiavi di registro. Ironicamente, il rootkit utilizzato da Purple Fox è stato creato da un ricercatore di sicurezza che lo ha ideato allo scopo di nascondere le attività di scansione ai malware analizzati.
Successivamente all’installazione del rootkit, il malware riavvia la macchina e avvia una serie di scansioni sulla porta 445 per avviare attacchi di brute forcing ai servizi SMB disponibili in rete per cercare di infettare gli altri PC collegati in LAN.
Condividi l'articolo
Attenzione ai fleeceware: fenomeno in crescita su iOS e Android
General Electric: vulnerabilità critiche nei dispositivi di controllo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
GPUGate, una nuova tecnica che sfrutta Google Ads e GitHub... I ricercatori di Arctic Wolf hanno scoperto GPUGate, una... -
Una vulnerabilità critica di SAP S/4HANA è stata... I ricercatori di Security Bridge hanno scoperto che una... -
CERT-AGID 30 agosto-5 settembre: campagne contro INPS e... La scorsa settimana il CERT-AGID ha rilevato 79 campagne... -
Gli U.S.A. offrono 10 milioni di dollari per tre... Il governo degli Stati Uniti sta offrendo fino a 10... -
Hexstrike AI, nuovo tool di OffSec, è già stato preso di... Appena rilasciato e già preso di mira dagli attaccanti:...
Ransomware: la serie
No posts found.