Windowsを標的とするマルウェア「Purple Fox」が新しい感染能力を手に入れたようだ。Guardicoreは3月24日(米国時間)、「Purple Fox Rootkit Now Propagates as a Worm - Guardicore」において、Purple FoxがSMBパスワードブルートフォース攻撃を使った新しい感染機能を使っていることを確認したと伝えた。

Purple Foxは2018年3月に発見されたエクスプロイトキットおよびこのエクスプロイトキットを用いたマルウェアキャンペーンを指す言葉として使われている。特権昇格の脆弱性を抱えたバージョンのInternet ExplorerやWindowsを対象としており、主にフィッシングメールの手法で感染を広めていた。

しかしGuardicoreは、2020年終わりから2021年の初めにかけて、Purple FoxがSMBサービスを悪用した新しい感染手法を使うようになったことを観測したという。調査を行った結果、2020年5月にはかなりの量の悪意ある活動が発生しており、今回の報告が行われるまでに感染数が600%増加という状況になっている。

Purple Foxのマルウェアとしての機能はそれほど変化していないが、感染方法は大きく変わったという。動作としてはワームに近いものになっており、オペレータの手を借りずとも自動的に感染していくようになったといえる。

マルウェアの開発者は常に新しい感染経路を模索しており、数年前に流行したマルウェアが突如広く感染活動を展開する事例も多い。感染に有効な方法が発見されると、ほかのマルウェアが同様の機能を搭載する可能性もあり注意が必要。基本的に使用しているソフトウェアには最新のセキュリティアップデートの適用を続ける必要がある。