Vuonna 2018 ensimmäisen kerran havaittua Purple Fox -haittaohjelmaa on tähän asti levitetty muun muassa kalastelusähköpostien kautta ja verkkorikollisten työkalusovellusten avulla. ZDnet kirjoittaa, että viime viikkoina haittaohjelmasta on löydetty uusi muunnos, joka on ehtinyt saastuttaa jo suuren joukon Windows-koneita.

Asiasta on raportoinut Guardicore Labs, jonka mukaan Purple Fox leviää nyt koneelta toiselle vanhanaikaisen tietokonemadon tavoin. Se nuuskii uhrejaan porttiskannauksella ja hyödyntää heikosti suojattuja smb-palveluita. Smb on verkon resursseja jakava protokolla.

Tutkijoiden mukaan haittaohjelman asennuspalikka tekeytyy Windowsin päivityspaketiksi ja noutaa sitten itse Purple Foxin rikollisten url-osoitteista.

Todettujen hyökkäysten määräksi kerrotaan noin 90 000, ja määrä on kasvanut viime kuukausina likimain 600 prosentilla. Se on levinnyt menestyksekkäästi etenkin Windows Serverin vanhempia versioita käyttävissä järjestelmissä.

Koneelle päästyään Purple Fox pyrkii säätämään järjestelmän palomuuriasetukset mieleisikseen. Mielenkiintoista on, että se myös sulkee joitakin portteja estääkseen muiden haittaohjelmien sisäänpääsyn.