Les développeurs du kit d’exploit Purple Fox (EK) ont ajouté deux nouveaux exploits à leur arsenal, dont un pour une vulnérabilité corrigée en février de cette année.

Initialement détaillé en septembre 2018, l’EK a été conçu pour la distribution du cheval de Troie / rootkit Purple Fox. Auparavant, le cheval de Troie était diffusé via le RIG EK, mais ses opérateurs envisageaient probablement de réduire les coûts, notent les chercheurs en sécurité de Proofpoint.

Au cours de récentes campagnes de distribution, le Purple Fox EK a exploité des exploits ciblant CVE-2020-0674 (une corruption de mémoire du moteur de script dans Internet Explorer) et CVE-2019-1458 (une élévation de privilèges locaux dans Windows), deux vulnérabilités que Microsoft a corrigées dans Février 2020 et décembre 2019, respectivement.

Avant la publication des correctifs pour ces bogues de sécurité, cependant, les deux ont été observés abusés dans des attaques associées au groupe de menaces DarkHotel, qui serait lié au gouvernement sud-coréen. L’année dernière, l’acteur de la menace a également ciblé un jour zéro Chrome dans le cadre de l’opération WizardOpium.

On pense que Purple Fox a touché des dizaines de milliers d’utilisateurs, laissant initialement les crypto-mineurs sur des machines compromises. Au fil du temps, cependant, il a reçu plusieurs améliorations, telles que l’ajout de code rootkit et les exploits récemment ajoutés.

L’analyse de la chaîne d’infection a révélé l’utilisation d’un script qui vérifie d’abord le système d’exploitation sur la machine cible pour sélectionner la méthode d’exécution de la charge utile de l’étape suivante (via msiexec.exe).

Il tenterait également d’élever les privilèges en utilisant des exploits pour les vulnérabilités CVE-2018-8120 et CVE-2015-1701 affectant le pilote multi-utilisateur Win32k. Les versions récentes du script incluent également un exploit pour CVE-2019-1458, révèle Proofpoint.

Bien qu’ils ne soient pas aussi répandus qu’avant, les kits d’exploit continuent d’être présents sur le paysage des menaces et ils sont …