Fileless malware Purple Fox con componente rootkit ahora utiliza PowerShell

Recientemente, investigadores de TrendMicro identificaron una nueva variante de Purple Fox, un software conocido principalmente por la automatización de descargas de malwares de minería de criptomonedas.

La nueva versión de Purple Fox conserva su componente rootkit al explotar el código disponible públicamente, y a la vez reemplaza la herramienta Nullsoft Scriptable Install System (NSIS) utilizada anteriormente para recuperar y ejecutar su payload, utilizando PowerShell, que le permite la infección de archivos y el escalamiento de privilegios para descargar y/o ejecutar nuevos ficheros.

Rig Exploit Kit explota tres vulnerabilidades específicas para acceder al script de PowerShell:

• A través de un archivo Flash (.swf) que explota la vulnerabilidad CVE-2018-15982.
• A través de un archivo .htm que explota la vulnerabilidad de ejecución remota de código (RCE) en el motor VBScript que afecta a varias versiones de Windows (CVE-2018-8174)
• A través de un archivo .htm que explota la vulnerabilidad en el motor VBScript de Internet Explorer (CVE-2014-6332)

Dependiendo de los permisos que tenga el usuario, el script de PowerShell elige el modo de infección.

• En caso de que el usuario tenga privilegios de Administrador, la API nativa de "msi.dll" se usa para descargar el componente principal de Purple Fox.
• En el caso contrario, se hará uso de PowerSploit para explotar dos vulnerabilidades específicas (CVE-2015-1701 y CVE-2018-8120) que permiten la escalación de privilegios y, por lo tanto, descargar el componente Purple Fox a través del software nativo de Windows "msiexec.exe".

Estas nuevas características son claras evidencias de que los autores de Purple Fox están cambiando su atención de la minería de criptomonedas a la distribución de otros tipos de malware con un mayor impacto.

Se recomienda lo siguiente: 

• Haga cumplir el principio de privilegio mínimo restringiendo y asegurando el uso de herramientas reservadas para los administradores del sistema.
• Instalar parches y/o actualizaciones regularmente.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Implementar mecanismos adicionales que brinden capas adicionales de seguridad, como sandboxes, que pueden poner en cuarentena los archivos maliciosos y analizar aún más los comportamientos sospechosos; firewalls y sistemas de prevención y detección de intrusos.