NUEVA ACTIVIDAD MALICIOSA DE PURPLEFOX A TRAVÉS DE CORREOS ELECTRÓNICOS

18/01/2024

Descripción

Desde 2018, PurpleFox ha surgido como una amenaza cibernética distribuida principalmente a través de correos electrónicos tipo phishing. Los ciberdelincuentes adjuntan archivos de Word que simulan ser facturas legítimas, utilizando extensiones como doc, docm y docx. Cuando un usuario abre uno de estos documentos, PurpleFox se infiltra en el sistema, funcionando como un rootkit y con capacidades para evadir su detección.

Una vez dentro del sistema, el objetivo principal es comprometer sistemas operativos Windows y convertir los equipos en una red de bots controlados por los atacantes. Para lograrlo, cuando un usuario abre el documento de Word, les solicita que habiliten el contenido para obtener otro documento llamado "update[.]dotm" de una URL.

Vector de infección

PurpleFox se propaga mediante correos electrónicos de phishing, en los cuales se adjuntan archivos que aparentan ser documentos relacionados con facturas financieras o información de interés. El objetivo es que las posibles víctimas descarguen y ejecuten PurpleFox, lo que compromete la seguridad y la información.

Recomendaciones

• Realizar un monitoreo en segundo plano para detectar cualquier comportamiento inusual o anómalo relacionado con la ejecución de PurpleFox bajo el nombre "MsiExec.exe”.
• Realizar monitoreo en las siguientes rutas para detectar cualquier indicio de que PurpleFox se esté alojando en el sistema: "C:\Windows\Installer\MSI7417.tmp" y "C:\Windows". Esto permitirá la identificación de posibles comportamientos anómalos relacionados con PurpleFox.
• Implementar un sistema de filtrado de correo electrónico que detecte y bloquee correos electrónicos maliciosos y enlaces sospechosos antes de que lleguen a las bandejas de entrada de los usuarios.

Leer noticia: https://cyble.com/blog/purplefox-resurfaces-via-spam-emails-a-look-into-its-recent-campaign/