Purple Fox – Un nouveau kit d’exploitation maison pour le malware

0
121

Purple Fox est connu pour être un cheval de Troie qui télécharge et exécute des logiciels malveillants via des campagnes de « malvertising ». Jusqu’à présent, ce cheval de Troie se propageait grâce au kit d’exploitation RIG, un kit d’exploitation payant. 

Tribune – Récemment, les chercheurs de Proofpoint ont découvert que Purple Fox était désormais diffusé via un nouveau kit d’exploitation, développé directement par les auteurs du malware in-house. La logique semble ici  principalement économique, puisqu’en développant leur propre kit d’exploitation pour la distribution, les auteurs du malware Purple Fox n’ont plus à payer pour l’utilisation du kit d’exploitation RIG.

Les chercheurs de Proofpoint ont également observé que le kit d’exploitation de Purple Fox avait été mis à jour pour exploiter deux nouvelles vulnérabilités : CVE-2020-0674 et CVE-2019-1458. CVE-2020-0674 est une vulnérabilité qui compromet la mémoire du moteur de script dans Internet Explorer, annoncée par Microsoft dans une note de sécurité ADV200001 le 18 janvier 2020 et corrigée dans la publication du Patch Tuesday de février 2020. Dès lors, des explications détaillées de la vulnérabilité ont été publiées et un code de preuve de concept (PoC) a été mis à disposition.

CVE-2019-1458 est une vulnérabilité d’élévation de privilège local (LPE) qui a été utilisée dans l’opération WizardOpium et corrigée par Microsoft dans la publication du Patch Tuesday de décembre 2019.

Les kits d’exploitation ne sont pas aussi répandus qu’il y a quelques années. Cependant, ils font toujours partie du paysage des menaces et leurs auteurs les mettent régulièrement à jour pour inclure de nouvelles attaques contre les vulnérabilités nouvellement découvertes.

Sherrod DeGrippo, Directrice de la Détection des Menaces au sein de Proofpoint, explique :

« Dans notre dernière recherche, nous avons observé deux choses intéressantes avec le malware Purple Fox. Premièrement, les auteurs de Purple Fox abandonnent l’utilisation du kit d’exploitation RIG payant au profit d’un kit d’exploitation (EK) qu’ils ont eux-mêmes construit en interne. Deuxièmement, l’inclusion dans le nouvel EK de deux vulnérabilités de fin 2019 et début 2020. Ensemble, ces deux éléments montrent une fois de plus à quel point les auteurs de logiciels malveillants sont avant tout des hommes d’affaires. Ils prennent des décisions en fonction des économies qu’ils réalisent et s’adaptent rapidement aux nouveaux développements qui peuvent leur permettre d’étendre leur marché ».