Purple Fox Rootkit现在可以扩展到其他Windows计算机

紫狐这是一款Windows恶意软件，以前以使用漏洞工具包和网络钓鱼电子邮件感染计算机而闻名，现在它在其武库中添加了一项新技术，使其具有类似蠕虫的传播能力。

Guardicore的研究人员称，正在进行的活动利用了一种“新的传播技术，通过不加区分的端口扫描和利用暴露的SMB服务，使用弱密码和散列”，他们说，自2020年5月以来，攻击增加了约600%。

在2020年底和2021年初，共有90000起事件被发现。

Purple Fox于2018年3月首次被发现，它以恶意“.msi”有效载荷的形式分布在近2000台受损的Windows服务器上，这些服务器反过来下载并执行一个具有rootkit功能的组件，从而使威胁参与者能够在机器上隐藏恶意软件，并使其易于逃避检测。

Guardicore表示，紫狐在被攻击后并没有发生太大变化，但它的行为却像蠕虫一样，使得恶意软件传播得更快。

它通过一个易受攻击的、公开的服务（如服务器消息块（SMB））侵入受害者机器，利用初始立足点建立持久性，从Windows服务器网络中提取有效负载，并在主机上秘密安装rootkit，从而实现这一点。

Guardicore负责北美安全研究的新任副总裁阿米特·塞珀（Amit Serper）指出，一旦被感染，恶意软件就会阻塞多个端口（445、139和135），可能是为了“防止受感染的机器再次受到感染，和/或被其他威胁者利用”。

在下一个阶段，Purple Fox通过生成IP范围并在端口445上扫描来开始其传播过程，使用探测器挑出互联网上密码较弱的易受攻击设备，并强制它们将机器诱捕到僵尸网络中。

虽然僵尸网络通常由威胁行为人部署，对网站发起拒绝网络攻击，目的是使其离线，但它们也可用于在受感染的计算机上传播各种恶意软件，包括文件加密勒索软件，尽管在这种情况下，目前尚不清楚袭击者想要达到什么目的。

如果说有什么区别的话，新的感染媒介是另一个迹象，表明犯罪运营商不断重新装备他们的恶意软件分发机制，以撒网，危害尽可能多的机器。有关与该活动相关的妥协指标（IOC）的详细信息，请访问此处。