Purple Fox, впервые появился в 2018 году, представляет собой целый комплект вредоносных программ, не требующих взаимодействия с пользователем или какого-либо стороннего инструмента для заражения компьютеров Windows. В то же время Purple Fox был оснащен руткитом, который позволял ему проникать внутрь, избегать обнаружения и обеспечивать устойчивость выполнения скрипта.

Исследователи проанализировали последнюю активность Purple Fox и обнаружили два существенных изменения в том, как злоумышленники распространяют вредоносное ПО на компьютерах с Windows. Во-первых, новая полезная нагрузка червя запускается после того, как компьютер-жертва скомпрометирован через уязвимую службу (SMB).

Исследователи заметили, что Purple Fox также использует тактику для заражения компьютеров вредоносными программами посредством фишинговых кампании.

Как только червь заражает компьютер жертвы, он создает новую службу, чтобы выполнить простую команду, которая перебирает URL-адреса, содержащих MSI пакеты, для установки Purple Fox на скомпрометированную машину.

Msiexec (Подсистема Windows, обеспечивающая установку программ) будет выполняться с флагом /i, чтобы загрузить и установить вредоносный пакет MSI с одного из хостов злоумышленников. Он также будет выполняться с флагом /Q для «тихого» выполнения, что означает, что вмешательство пользователя не потребуется».

Как только пакет будет готов, установщик MSI запустится, выдавая себя за пакет Центра обновления Windows вместе с китайским текстом, который примерно переводится как «Центр обновления Windows» и случайными символами. Они генерируются случайным образом между разными установщиками MSI, чтобы создать разные хэши и затруднить создание ссылок между разными версиями одного и того же MSI.

Это простой способ обойти различные методы обнаружения, такие как статические подписи.

По мере выполнения установщик будет извлекать загруженные данные и расшифровывать их из пакета MSI, что включает в себя изменение правил брандмауэра Windows таким образом, чтобы предотвратить повторное заражение зараженной машины и/или ее использование другим субъект угрозы.

Извлеченные файлы затем выполняются, и, устанавливается руткит, который «по иронии судьбы» был разработан исследователем безопасности для того, чтобы задачи исследования вредоносных программ были скрыты от самой вредоносной программы, который скрывает различные ключи и значения реестра, файлы и т. д.

Затем установщик перезагружает компьютер, чтобы переименовать динамическую библиотеку вредоносных программ (DLL) в системный DLL-файл, который будет выполняться при загрузке, а также для запуска вредоносного ПО, которое немедленно начинает процесс своего распространения. По словам исследователей, это влечет за собой создание диапазонов IP-адресов и начало их сканирования на порту 445, чтобы начать процесс грубого заражения.