Операторы ботнета Purple Fox изменили метод распространения вредоноса и начали взламывать Windows-устройства путем брутфорса пароля Server Message Block (SMB). Об этом сообщили исследователи из Guardicore. 🧵👇 It’s here! Our Labs team unveils new distribution methods discovered for #PurpleFox, an active malware campaign targeting Windows machines. Great work @0xAmit and @OphirHarpaz 👏 Link: 👉https://t.co/aCiwsiE57h pic.twitter.com/3AzpIDxkO4 — Guardicore has new research out on #PurpleFox (@Guardicore) March 23, 2021 Хакерская кампания продолжается с 2018 года и изначально использовала наборы эксплойтов и фишинговые письма. Свойства червя ботнет приобрел только в конце 2020 года. Purple Fox сканирует порты и незащищенные сервисы SMB со слабыми паролями и хешами, взламывая их методом перебора. Проникнув на компьютер жертвы, операторы вредоноса строят ботнет, основная задача которого — скрытый майнинг криптовалюты. Руткит затрудняет обнаружение и удаление вредоноса. Guardicore Labs определили обширную сеть скомпрометированных серверов Microsoft IIS 7.5, на которых размещены [simple_tooltip content='вредоносная программа, задачей которой является несанкционированная и скрытая от пользователя установка на компьютер других вредоносных программ (или других частей вредоносного комплекса), содержащихся в теле дроппера']дроппер[/simple_tooltip] Purple Fox и его полезные данные. Специалист Guardicore Амит Серпер опубликовал подробную информацию об атаках Purple Fox, прикрепив также индикаторы компрометации, которые позволят пострадавшим выявить признаки присутствия червя. Ранее в марте эксперты «Лаборатории Касперского» зафиксировали новую вредоносную программу, угоняющую мощности систем на базе ОС Windows для майнинга криптовалюты Monero. Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.