Los atacantes prueban contraseñas débiles en el malware Purple Fox …



Los investigadores comparten una lista de contraseñas que los atacantes de Purple Fox suelen utilizar mediante la fuerza bruta cuando se dirigen al protocolo SMB.

Las contraseñas débiles que se utilizan en el protocolo Home windows Server Concept Block (SMB) a menudo son parte de los ataques que resultan en la propagación del malware Purple Fox, informan los investigadores de Specops.

Purple Fox, detectado por primera vez en 2018, es una campaña de malware que se dirige a las máquinas con Home windows. Hasta hace poco, sus operadores utilizaban correos electrónicos de suplantación de identidad y varias vulnerabilidades de escalada de privilegios para atacar dispositivos World wide web Explorer y Home windows. Sin embargo, a finales de 2020 y principios de 2021, un nuevo vector de infeccion comenzó a infectar dispositivos Home windows con acceso a Internet a través de la fuerza bruta de contraseñas SMB.

Si bien la funcionalidad de Purple Fox no cambió después de la explotación, su método de distribución llamó la atención de los investigadores de Guardicore. El equipo que observa a Purple Fox explain una «mezcolanza» de máquinas vulnerables y comprometidas que albergan la carga útil inicial, dispositivos infectados que sirven como nodos de campañas de gusanos e infraestructura de servidor que se cree que está relacionada con otras campañas de malware.

Hay varias formas en que Purple Fox puede comenzar a propagarse. En algunos ataques, la carga útil del gusano se ejecuta después de que un objetivo se ve comprometido a través de un servicio expuesto, como un SMB estos servicios están dirigidos con contraseñas débiles y hashes. En otros ataques, el gusano se envía a través de un correo electrónico de phishing que aprovecha una vulnerabilidad del navegador.

Los investigadores de Specops también dicen que estos ataques crearon un sistema honeypot world para recopilar información sobre cómo se ven estos ataques SMB y el tipo de contraseñas que usan los atacantes. El equipo analizó más de 250.000 ataques al protocolo SMB durante un período de 30 días. En ese tiempo, la «contraseña» se usó en ataques más de 640 veces, informan.

«Contraseña» fue solo la tercera contraseña más común utilizada en estos ataques. El más well-known fue «123», seguido de «Aa123456». También probaron con frecuencia «1qaz2wsx», «abc123», «contraseña1», «bienvenido», «888888» y «112233».

Leer la lista completa aquí.

Brief Hits de Darkish Examining ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente primary de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original