Purple Fox es un malware que anteriormente se distribuía a través de kits de explotación y correos electrónicos de Phishing. Sin embargo ahora ha agregado un módulo que le permite escanear e infectar sistemas Windows accesibles a través de Internet y realizar ataques.

Este malware cuenta con capacidades de rootkit y puerta trasera. Fue detectado por primera vez en 2018 después de infectar a más de 30.000 dispositivos y se usa como descargador para implementar otras cepas de malware. No es la primera vez que esta amenaza pone sus miras en sistemas Windows.

Una de sus cualidades es la de infectar a los usuarios de Windows a través de sus navegadores web después de explotar la corrupción de la memoria y las vulnerabilidades de elevación de privilegios.

Sin embargo en los últimos meses los ataques de Purple Fox se han intensificado significativamente, alcanzando un total de 90.000 ataques y un 600% más de infecciones, según los investigadores de seguridad de Guardicore Labs, Amit Serper y Ophir Harpaz.

Su objetivo principal ahora es detectar sistemas Windows que están expuestos en la red. utiliza la fuerza bruta de la contraseña de SMB para infectarlo. Según un informe de Guardicore Labs, cuenta en su botnet con casi 2.000 servidores comprometidos.

Entre estos equipos infectados se incluyen máquinas Windows Server que ejecutan IIS versión 7.5 y Microsoft FTP, y servidores que ejecutan Microsoft RPC, Microsoft Server SQL Server 2008 R2 y Microsoft HTTPAPI httpd 2.0 y Microsoft Terminal Service.

Hemos indicado que Purple Fox puede infectar servidores mediante la fuerza bruta para ingresar a través de servicios SMB vulnerables expuestos en Internet, pero también está utilizando campañas de Phishing y vulnerabilidades del navegador web para implementar sus cargas útiles.