Waspada! Malware Purple Fox Mulai Tampil Lagi Targetkan Pengguna Windows

purple-fox-botnet
    Credit: GuardiCore

Malware Purple Fox telah terdeteksi pertama kali pada tahun 2018 oleh peneliti keamanan dari 360totalsecurity yang menyebutkan bahwa sudah ada 30.000 pengguna yang diserang malware berbahaya ini. Malware ini mengandalkan exploit kit dan email phising dengan teknik yang telah diperbarui.

Exploit kit sebelumnya pernah populer di kalangan para peretas, tetapi dalam beberapa dekade terakhir mereka tidak muncul menggunakan teknik ini, terakhir data yang ditemukan yaitu pada tahun 2019 dengan mengirim berbagai payload untuk mengunduh trojan, ransomware dan cryptominers.

Akan tetapi, teknik yang ditemukan saat ini menargetkan pengguna sistem operasi Windows yang menggunakan kata sandi lemah dengan cara brute-force SMB. Jika cara ini berhasil dilakukan tindakan selanjutnya dapat menginfeksi sistem korban.

“Sepanjang akhir 2020 dan awal 2021, Guardicore Global Sensors Network (GGSN) mendeteksi teknik penyebaran novel Purple Fox melalui pemindaian port sembarangan dan eksploitasi layanan UKM yang terekspos dengan kata sandi dan hash yang lemah,” kata Amit Serper, selaku peneliti GuardiCore.

Dalam hal ini, peneliti menggunakan teknologi bernama Guardi Global Sensor Network, yang dapat melacak segala serangan dari malware Purple Fox. GSSN telah berhasil mengidentifikasi setidaknya lebih dari 600% dengan total 90.000 serangan telah meningkat secara signifikan.

Armit Serper juga menjelaskan tentang malware Purple Fox bagaimana cara malware ini bekerja dan menginfeksi sistem Windows, sebagaimana yang ia katakan di postingan blognya:

"Meskipun tampaknya fungsi Purple Fox tidak banyak mengubah pasca eksploitasi, metode penyebaran dan distribusinya - dan perilaku seperti worm - jauh berbeda dari yang dijelaskan dalam artikel yang diterbitkan sebelumnya. Sepanjang penelitian kami, kami telah mengamati infrastruktur yang tampaknya dibuat dari kumpulan server yang rentan dan dieksploitasi yang menghosting muatan awal malware, mesin yang terinfeksi yang berfungsi sebagai node dari kampanye worming yang terus-menerus, dan infrastruktur server yang tampaknya terkait dengan kampanye malware lainnya."

Armit juga menjelaskan bahwa penyerang menyebarluaskan paket MSI di hampir 2,000 server yang sebelumnya sudah disusupi, tetapi digunakan kembali. Karena yang diincar adalah pengguna Windows, malware yang dihosting di server yang rentan menjalankan Windows Server versi lama dengan Internet Service v7.5 yang dikolaborasikan dengan Microsoft FTP.

Menurut peneliti, malware ini memodifikasi firewall milik Windows dengan cara menjalankan perintah netsh dan menambahkan filter baru yang disebut Qianye, yang mana tugasnya adalah melarang port 445, 139, 135 pada TCP dan UDP agar tidak terhubung ke internet. Tujuannya adalah agar para penyerang lain tidak mengeksekusi payload yang telah tertanam di sistem korban.

Tak hanya itu, penyerang juga menginstall ipv6 sebagai opsi untuk melakukan scanning port 445, karena port ini digunakan untuk autentikasi Windows Server Message Block (SMB). Selanjutnya, rootkit akan dimasukkan dan mengganti nama DLL malware menjadil DLL sistem yang akan dijalankan saat booting dan pada saat itu, malware akan mulai bekerja.

Posting Komentar

1 Komentar

Emoji
(y)
:)
:(
hihi
:-)
:D
=D
:-d
;(
;-(
@-)
:P
:o
:>)
(o)
:p
(p)
:-s
(m)
8-)
:-t
:-b
b-(
:-#
=p~
x-)
(k)