Sebességet váltott a Purple Fox vírus

​A Purple Fox nevű kártékony program egy olyan modullal bővült, amelynek révén önállóan, interneten keresztül képes számítógépek megfertőzésére.
 

A Purple Fox először 2018-ban hívta fel magára a figyelmet, amikor 30 ezer rendszert fertőzött meg. A célja az volt, hogy az áldozatául eső számítógépekre további kártékony programokat juttasson fel. A terjedése során előszeretettel használt ki webböngészőkben lévő sebezhetőségeket, amelyeken keresztül végre tudta hajtani a fertőzést. Ugyanakkor a terjesztői adathalász módszerek alkalmazásától sem riadtak vissza. 

Az ártalmas program az elmúlt időszakban hol nagyobb, hol kisebb intenzitással szedte az áldozatait, de rendszeresen tudatta, hogy számolni kell a jelenlétével. Ráadásul folyamatosan fejlődtek a képességei, ami által mind kockázatosabbá vált. A Guardicore Labs szerint 2020 májusára már 90 ezer fertőzést tudhatott maga mögött. 

A Purple Fox idén sem állt le, sőt egy olyan modullal gyarapodott, amely féregszerű terjedést tesz lehetővé. Mindezt oly módon, hogy a károkozó a fertőzött rendszerről elkezdi felkutatni azokat az internethez csatlakoztatott számítógépeket, amelyeken tárva nyitva hagyták az SMB szolgáltatáshoz tartozó (445-ös TCP) portot. Amennyiben talál ilyet, akkor egy előre kialakított, felhasználóneveket és jelszavakat tartalmazó lista alapján, brute force módszerekkel megkísérel hozzáférni a sebezhető rendszerhez. 

A károkozó a célkeresztbe állított számítógépeken elsőként egy szolgáltatást hoz létre AC[...] néven, amelynek használatával további nemkívánatos kódokat, programokat tölt le. Eközben egy nyílt forráskódú rootkit révén gondoskodik arról, hogy a saját állományait elrejtse a kíváncsi szemek elől. Amint végez az előkészítő tevékenységével, akkor újraindítja a rendszert, majd elkezdi a portszkennelést a 445-ös port tekintetében. 

A Guardicore Labs szerint a Purple Foxhoz kapcsolódóan jelenleg is működik egy olyan botnet hálózat, amely több mint kétezer fertőzött szervert foglal magában. Ezeken a kiszolgálókon többnyire az alábbiak futnak:

• IIS 
• Microsoft FTP
• Microsoft RPC
• Microsoft Server SQL Server 
• Microsoft Terminal Service.

A Purple Fox is arra hívja el a figyelmet, hogy a hálózati hozzáférések szabályozásának komoly jelentősége van a vírustámadások megelőzésében is. Ezért a tűzfalszabályok, illetve a kiegészítő védelmi megoldások, mint például a VPN alkalmazása kiemelt fontosságú.