【安全资讯】Purple Fox恶意软件新增CVE-2021-26411漏洞利用功能

近日，研究人员发现Purple Fox恶意软件新变种开始利用Internet Explorer的一个内存缓冲区漏洞（CVE-2021-26411）。该Purple Fox变种与研究人员在2021年3月对外发布的概念证明（PoC）非常相似。用户通过Google搜索术语“نموذج-تمديد-زيارة-”，并点击搜索结果loislandgraf[.]us，从而将用户重定向漏洞利用页面，并设置通过地理位置检测来筛选目标，意大利、瑞士、爱尔兰、瑞典和日本等地将触发感染链。

CVE-2021-26411漏洞相关记录

Shellcode（漏洞利用代码）使用AES进行加密，执行后将通过PowerShell从远程服务器下载恶意文件。脚本会检查用户是否为管理员，如果是管理员，则使用MSI文件安装恶意软件，不是管理员则从网络下载其他恶意软件模块。该过程中Purple Fox采用了隐写术，将恶意代码隐藏在图像中。

接着从下载的映像中提取PowerShell脚本，然后执行这些脚本，并通过以下集成漏洞利用的其中一个进行特权提升：
    CVE-2015-1701
    CVE-2018-8120
    CVE-2019-1458
    CVE-2019-0808
    CVE-2020-1054
    CVE-2021-1732

如果利用成功，则将MSI和有效负载安装在客户端上。

Purple Fox运行的漏洞利用代码代码与2021年3月对外发布的POC概念代码的相似性表明，恶意软件开发人员可以轻松地通过公共漏洞利用代码增加攻击面。