Recientemente, investigadores de TrendMicro identificaron una nueva variante de Purple Fox, un software conocido principalmente por la automatización de descargas de malwares de minería de criptomonedas.
La nueva versión de Purple Fox conserva su componente rootkit al explotar el código disponible públicamente, y a la vez reemplaza la herramienta Nullsoft Scriptable Install System (NSIS) utilizada anteriormente para recuperar y ejecutar su payload, utilizando PowerShell, que le permite la infección de archivos y el escalamiento de privilegios para descargar y/o ejecutar nuevos ficheros.
Rig Exploit Kit explota tres vulnerabilidades específicas para acceder al script de PowerShell:
Dependiendo de los permisos que tenga el usuario, el script de PowerShell elige el modo de infección.
Estas nuevas características son claras evidencias de que los autores de Purple Fox están cambiando su atención de la minería de criptomonedas a la distribución de otros tipos de malware con un mayor impacto.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |