Purple Fox

Purple Fox Trojanダウンローダーは、2018年以来、マルウェア研究者の注目を集めている脅威です。これまでのところ、専門家は、このトロイの木馬が世界中で30,000人以上の犠牲者を出していると信じています。 Purple Fox Trojanの作成者は脅威を更新し、現在RIGエクスプロイトキットを使用して作成したものをターゲットホストに注入しています。 Purple Fox Trojanダウンローダーのペイロードは、NSISインストールツールではなく、PowerShellコマンドに依存します。このようにして、攻撃者は操作全体を静かにし、研究者やマルウェア対策ツールによって発見される可能性を低くしました。パープルフォックストロイの木馬のオペレーターは、主に侵害されたホストに暗号マイニングの脅威を植え付けるためにそれを使用する傾向があります。ただし、このトロイの木馬ダウンローダーは、はるかに有害な脅威を植え付けるためにも使用できます。 エクスプロイトキット（EK）は、最近流行しているサイバーセキュリティの脅威の1つではありません。それでも、過去にパープルフォックスとして知られていたエクスプロイトキットを介して配信されたファイルレスダウンローダーのマルウェアファミリーは、現在、再び見出しを作ろうとしています。昨年、30,000人を超えるユーザーがPurple Foxの犠牲者になりましたが、今月初め、マルウェア研究者は、以前の武器にさらにいくつかのMicrosoftエクスプロイトを追加した新しい亜種に遭遇しました。このマルウェアの主な目標は、以前と同様に、トロイの木馬、ランサムウェア、暗号マイナー、情報スティーラーなど、他のマルウェアの脅威をターゲットシステムに展開することです。 以前は、Purple Foxマルウェアファミリーからの脅威は、サードパーティのエクスプロイトキットRIGによって配信されていました。ただし、2019年以降、PurpleFoxのオペレーターはマルウェアの配信と取得をMicrosoftPowerShellに移行し、この脅威をRIGEKの代わりにしています。 Purple Foxの新しいランプアップされたバリアントは、2つの追加のMicrosoftの脆弱性を悪用できるようになりました。最初の脆弱性はローカル特権の昇格を許可し、CVE-2019-1458という名前です。 2番目のCVE-2020-0674は、InternetExplorerのセキュリティギャップです。どちらもすでにパッチが適用されていますが、現在パッチが適用されていない脆弱性を常に把握しようとするPurple Foxの所有者は、エクスプロイトキットをレーダーに残しておく必要があることをマルウェア研究者に知らせています。

PurpleFoxトロイの木馬が使用するエクスプロイト

Purple Fox Trojanダウンローダーの管理者は、RIGエクスプロイトキットの使用とは別に、他の伝播方法を採用している可能性があります。専門家は、Purple Fox Trojanは、偽のダウンロードだけでなく、マルバタイジングキャンペーンによっても増殖する可能性があると考えています。現在、パープルフォックストロイの木馬の拡散に使用されているRIGエクスプロイトキットは、被害者にいくつかの脆弱性をチェックしています。

• VBScriptエクスプロイト–CVE-2018-8174。
• Adobe Flashエクスプロイト–CVE-2018-15982。
• Internet Explorerのエクスプロイト–CVE-2014-6332。
• 侵入されたアカウントに管理者権限がない場合、脅威はCVE-2018-8120およびCVE-2015-1701を探します。

以前のバージョンのPurpleFoxダウンローダーと同様に、このバリアントには管理者権限を持つファイルがあり、破損したドライバーを介して、インスタンス内のホストにすでに存在する同様のファイルを模倣することにより、システム上での存在をマスクするために使用されます。

PurpleFoxがMicrosoftPowerShellを介して脆弱性を悪用

Purple Foxは、悪意のあるアクションを実行するために、パッチが適用されていない脆弱性を攻撃してPowerShellを実行し、保護が不十分なシステムに追加のマルウェアをダウンロードします。このような攻撃は通常、PurpleFoxの悪意のあるスクリプトが挿入された破損したWebサイトにユーザーがアクセスしたときに開始されます。マルウェアは、システムを危険にさらすために必要な脆弱性を検出し、ユーザーが特定のWebサイトにアクセスしている間にターゲットマシンに侵入します。通常、ユーザーは悪意のある広告やスパムメールによってリダイレクトされた後、そのような危険なページにアクセスします。 CVE-2020-0674 Windowsの脆弱性を悪用して感染が発生した場合、Purple Foxは、コンピュータのWebブラウザで使用される「jscript.dll」ライブラリを標的にします。次に、マルウェアはそのライブラリのRegExpからアドレスを抽出し、jscript.dll PEヘッダーを見つけてから、PurpleFoxがマシンにシェルコードをロードしたインポート復号化ツールを見つけます。次に、このシェルコードはWinExecを検出し、実際のマルウェアの実行を開始するプロセスを作成します。 次に、Purple Foxはルートキット機能を使用して、システムの再起動後にレジストリエントリとファイルを非表示にします。研究者は、Purple Foxがオープンソースコードを悪用することでルートキットコンポーネントを有効にし、マルウェアがDLLを隠し、リバースエンジニアリングを防ぐのに役立つことを観察しました。

あなたは紫狐を避けることができます

明らかに、ユーザーはいくつかの簡単なヒントに従うことで、PurpleFoxマルウェアや他の同様のエクスプロイトキットの犠牲になるのを避けることができます。 1つ目は、既知の脆弱性に対する最新のパッチをインストールして、Windowsシステムを常に最新の状態に保つことです。特権を監視して管理者ツールに制限すると、最小特権の原則を適用できます。また、高度なセキュリティレイヤーを提供するプロのマルウェア対策ソリューションは、PurpleFoxのような脅威を武装解除することができます。 ユーザーはサイバーセキュリティをもっと真剣に受け止め始める必要があります。マルウェア研究者による最も一般的な推奨事項の1つは、すべてのソフトウェアを最新の状態に保つことです。残念ながら、オンラインのユーザーの大多数は、これが面倒な作業であると感じています。ただし、すべてのアプリケーションが最新の場合、Purple Fox Trojanダウンローダーのような脅威は、古いソフトウェアに見られる脆弱性に依存しているため、システムに侵入できません。また、正当なマルウェア対策ソリューションが存在することを確認してください。これは、不要なアプリケーションを検出して削除するのに役立ちます。