Nuove feature e nuovi target per Purple Fox

13/09/2019

CVE-2014-6332 CVE-2015-1701 CVE-2018-15982 CVE-2018-8120 CVE-2018-8174 powershell powersploit Purple Fox trojan

 

Di recente i ricercatori di TrendMicro hanno individuato una nuova variante del malware downloader denominato Purple Fox che in passato ha compromesso migliaia di utenti utilizzando il meccanismo “Pending File Rename Operations” per sostituire il file di sistema e avviare automaticamente il driver di caricamento (un software di download automatico) all’avvio.

Purple Fox, veicolato tramite Rig Exploit Kit, e’ noto come downloader di malware per mining di criptovaluta. La nuova versione, pur mantenendo alcune caratteristiche della precedente, introduce nuovi exploit, sfrutta codice open source per abilitare componenti rootkit e un software per occultare la componente DLL che impedisce tentativi di reverse engineering o cracking. Inoltre, con quest’ultima versione e’ stato rimpiazzato NSIS tool in favore di PowerShell rendendo Purple Fox capace di infezione senza file e di effettuare escalation di privilegi con lo scopo di scaricare e/o eseguire nuovi file.

Come e’ possibile osservare dallo schema grafico riportato da TrendMicro, Rig Exploit Kit sfrutta nello specifico tre exploit per vulnerabilita’ note per arrivare allo script PowerShell:

  1. Tramite file Flash (.swf) che sfrutta la vulnerabilità CVE-2018-15982;
  2. Tramite file .htm che sfrutta la vulnerabilità di esecuzione di codice in modalità remota (RCE) nel motore VBScript che interessa varie versioni di Windows (CVE-2018-8174);
  3. Tramite file .htm che sfrutta la vulnerabilità nel motore VBScript di Internet Explorer (CVE-2014-6332)

Mentre nel primo e terzo caso, tramite gli exploit per CVE-2018-15982 e CVE-2014-6332 viene scaricato ed eseguito direttamente lo script PowerShell che a sua volta compromette la macchina con il malware vero e proprio; nel secondo caso invece, tramite l’exploit per il CVE-2018-8174, si arriva al codice PowerShell passando per un file di tipo HTA.

In base ai permessi dell’utente lo script PowerShell che si presenta sotto forma di file jpg sceglie la modalita’ di infezione:

  • Nel caso in cui l’utente dispone di privilegi amministrativi, vengono sfruttate le API native di msi.dll per scaricare la componente principale di Purple Fox;
  • In alternativa verra’ fatto abuso di PowerSploit, uno strumento ampiamente utilizzato per attivita’ di penetration test, che sfrutterà exploit per due specifiche vulnerabilità (CVE-2015-1701 e CVE-2018-8120) che consentono di effettuare escalation di privilegi e quindi il download della componente Purple Fox tramite il software nativo di Windows msiexec.exe.

Il malware utilizza la funzione MsiInstallProductA della libreria msi.dll per scaricare ed eseguire un file .msi che contiene codice crittografato per sistemi a 32 e 64 bit. Successivamente il malware riavvia il sistema e utilizza una vecchia tecnica tramite la chiave di registro PendingFileRenameOperations per rinominare i suoi componenti.

L’introduzione di queste nuove funzionalita’ rappresentano delle chiare evidenze del fatto che gli autori di Purple Fox stanno spostando l’attenzione dal mining di cryptovaluta alla distribuzione di malware di altro tipo.

Indicatori di compromissione

  • IoC (.txt) – IP, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr