【安全资讯】PurpleFox利用基于WPAD的中间人攻击针对印度尼西亚用户

引言

PurpleFox是一款著名的漏洞利用工具包，研究人员发现攻击者利用PurpleFox针对印度尼西亚用户进行攻击。攻击者在Cloudflare注册了域名“wpad.id”，然后加载WPAD服务的URL，这将返回一个利用CVE-2019-1367的JavaScript版本，其中包含自定义Shellcode，Shellcode从URL下载下一阶段以投放有效载荷。攻击者利用WPAD域感染用户，使用这种技术，可以实现零点击攻击，因为在系统启动时访问WPAD URL，无需任何用户输入。除了印度尼西亚顶级域之外，研究人员暂时没有发现其他受到影响的国家顶级域。

简况

WPAD 是一种允许计算机自动发现 Web 代理配置的协议，主要用于仅允许客户端通过代理与外部世界进行通信的网络。

攻击者在Cloudflare注册了域名“wpad.id”，然后加载WPAD服务的URL，PurpleFox攻击者为了滥用 WPAD，在Cloudflare注册了域“wpad.id”，然后加载位于http://wpad[.]id/wpad[.]dat 的WPAD 服务的 URL 。这将返回一个利用CVE-2019-1367的独立 JavaScript 版本，其中包含自定义 shellcode，以遵循 WPAD 攻击的攻击链设置。

自定义 shellcode 从 URL “http://9kf[.]me/in[.]php?id=1”下载下一阶段以投放有效载荷。PurpleFox 链被设计为具有多个复杂阶段，滥用 PowerShell 和 MSI 文件。攻击链如下：

总结

PurpleFox正在活跃地寻找新的感染策略，且不仅影响了印度尼西亚的受害者，使用印度尼西亚 TLD 的其他国家/地区的用户也受到了影响。与此同时，PurpleFox 正在尝试访问用户交互少但可能受 WPAD 技术影响的服务器，例如自动机器。