Το Computer Emergency Response Team στην Ουκρανία (CERT-UA) προειδοποιεί για επιθέσεις που διανέμουν το PurpleFox malware, το οποίο έχει ήδη μολύνει τουλάχιστον 2.000 υπολογιστές στη χώρα.
Ο οργανισμός ασφαλείας δεν διευκρίνισε αν έχουν επηρεαστεί κρατικοί οργανισμοί ή υπολογιστές απλών χρηστών, αλλά έδωσε λεπτομερείς πληροφορίες σχετικά με τον εντοπισμό των μολύνσεων και την αφαίρεση του κακόβουλου λογισμικού.
Το PurpleFox (ή «DirtyMoe») είναι στην ουσία ένα modular Windows botnet malware που εντοπίστηκε το 2018. Διαθέτει ένα rootkit module που του επιτρέπει να κρύβεται και να παραμένει μεταξύ των επανεκκινήσεων της συσκευής.
Δείτε επίσης: HeadCrab Malware: Στοχεύει Redis για εξόρυξη κρυπτογράφησης
Μπορεί να χρησιμοποιηθεί για τη λήψη και την εγκατάσταση πρόσθετων πιο ισχυρών malware payloads σε παραβιασμένα συστήματα, ενώ προσφέρει και δυνατότητες backdoor και μπορεί να λειτουργήσει ως distributed denial of service (DDoS) bot.
Τον Οκτώβριο του 2021, νέες εκδόσεις του PurpleFox malware άρχισαν να χρησιμοποιούν το WebSocket για command and control (C2) communications για stealth. Τον Ιανουάριο του 2022, οι χειριστές του malware προσπαθούσαν να το διανείμουν κάνοντάς το να φαίνεται σαν Telegram desktop app.
Το PurpleFox malware στοχεύει την Ουκρανία
Το CERT-UA χρησιμοποίησε IoC που κοινοποιήθηκαν από την Avast και την TrendMicro για τον εντοπισμό μολύνσεων σε υπολογιστές στη χώρα, παρακολουθώντας τη δραστηριότητα με το αναγνωριστικό “UAC-0027”.
Σύμφωνα με την έρευνα και την ανάλυση των δειγμάτων του malware, εντοπίστηκαν τα χαρακτηριστικά της υποδομής των control servers και περισσότεροι από 2000 μολυσμένοι υπολογιστές στην Ουκρανία.
Το CERT-UA λέει ότι το PurpleFox malware συνήθως μολύνει τα συστήματα όταν τα θύματα εκκινούν laced MSI installers και χρησιμοποιεί τις δυνατότητες αυτοδιάδοσης χρησιμοποιώντας exploits για γνωστά ελαττώματα και πραγματοποιώντας password brute-forcing.
Ο οργανισμός συνιστά την απομόνωση συστημάτων που εκτελούν μη ενημερωμένες εκδόσεις λειτουργικού συστήματος και λογισμικό που χρησιμοποιεί VLAN. Εναλλακτικά προτείνει τμηματοποίηση φυσικού δικτύου με φιλτράρισμα εισερχόμενων/εξερχομένων για την αποφυγή εξάπλωσης της μόλυνσης.
Δείτε επίσης: Το WhiteSnake Stealer Malware μεταφέρεται σε υπολογιστές με Windows
Το CERT-UA παρακολούθησε μολυσμένους κεντρικούς υπολογιστές μεταξύ 20 και 31 Ιανουαρίου 2024, εντοπίζοντας 486 intermediate control server IP, οι περισσότερες από τις οποίες βρίσκονται στην Κίνα.
Ο οργανισμός ασφαλείας τονίζει ότι η αφαίρεση του PurpleFox malware είναι δύσκολη λόγω της χρήσης rootkit που αναφέραμε παραπάνω, αλλά υπάρχουν κάποιοι τρόποι για τον εντοπισμό και την αφαίρεση του malware από τους υπολογιστές.
Πώς να εντοπίσει κάποιος μια μόλυνση από το PurpleFox malware;
- Εξέταση συνδέσεων δικτύου σε “high” (10000+) θύρες χρησιμοποιώντας τη λίστα διευθύνσεων IP στο παράρτημα της αναφοράς.
- Χρήση του regedit.exe για έλεγχο για τα ακόλουθα registry values:
- WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
- Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
- Ανάλυση “Application” log στο Event Viewer για event IDs 1040 και 1042, πηγή: “MsiInstaller”
- Έλεγχος “C:\Program Files” για φακέλους με τυχαία ονόματα, π.χ., “C:\Program Files\dvhvA”
- Επαλήθευση συνεχούς εκτέλεσης του κακόβουλου λογισμικού, το οποίο χρησιμοποιεί υπηρεσίες και αποθηκεύει αρχεία σε συγκεκριμένους καταλόγους, τα οποία προσπαθεί να κρύψει το rootkit. Οι βασικές τοποθεσίες είναι:
- HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp
- C:\Windows\System32\MsXXXXXXXXApp.dll
- C:\Windows\AppPatch\DBXXXXXXXXMK.sdb, RCXXXXXXXXMS.sdb, TKXXXXXXXXMS.sdb
- (όπου XXXXXXXX είναι μια τυχαία ακολουθία [A-F0-9]{8}, π.χ. “MsBA4B6B3AApp.dll”)
Εάν εντοπιστεί κάτι από τα παραπάνω και υποδηλώνει μόλυνση από το PurpleFox malware, το CERT-UA προτείνει τη χρήση του Avast Free AV για την εκτέλεση μιας σάρωσης “SMART”. Επίσης, πρέπει να γίνουν τα παρακάτω:
- Εκκίνηση από το LiveUSB ή σύνδεση της μολυσμένης μονάδας δίσκου σε άλλον υπολογιστή
- Μη αυτόματη διαγραφή των “MsXXXXXXXXApp.dll” και “.sdb” modules
- Κανονική εκκίνηση και αφαίρεση της υπηρεσίας από το μητρώο
Για λειτουργίες δίσκου:
- Χρήση lsblk και fdisk -lu /dev/sda
- Τοποθέτηση του system partition σε read-write mode: mount -orw,offset=$((512*206848)) /dev/sda /mnt/
- Αναζήτηση και κατάργηση αρχείων στα /mnt/Windows/AppPatch και /mnt/Windows/System32 (π.χ. ls -lat /mnt/Windows/AppPatch/ και rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb)
- Unmount με umount /mnt/
Δείτε επίσης: Microsoft Teams: Χρησιμοποιείται σε phishing επιθέσεις για διανομή του DarkGate malware
Αφού γίνουν τα παραπάνω, οι χρήστες και οργανισμοί πρέπει να διασφαλίσουν ότι δεν θα μολυνθούν εκ νέου με το PurpleFox malware (π.χ. αν υπάρχει άλλη μολυσμένη συσκευή στο δίκτυο). Προτείνεται η χρήση ενός firewall στα Windows και η δημιουργία ενός κανόνα για τον αποκλεισμό της εισερχόμενης κίνησης από τις θύρες 135, 137, 139 και 445.
Είναι φανερό ότι το PurpleFox malware μπορεί να προκαλέσει σημαντικές ζημιές στους χρήστες και τους οργανισμούς στην Ουκρανία. Μία από τις βασικές επιπτώσεις είναι η πιθανή κλοπή προσωπικών δεδομένων, καθώς το malware μπορεί να διεισδύσει σε συστήματα και να εγκαταστήσει και άλλα malware που μπορεί να κλέψουν ευαίσθητες πληροφορίες.
Επιπλέον, το PurpleFox malware μπορεί να προκαλέσει σημαντικές διαταραχές στη λειτουργία του υπολογιστή, καθιστώντας τον αναποτελεσματικό. Αυτό μπορεί να έχει ως αποτέλεσμα την απώλεια σημαντικών αρχείων ή δεδομένων.
Το PurpleFox επίσης μπορεί να χρησιμοποιηθεί για την εκτέλεση DDoS επιθέσεων. Αυτό μπορεί να οδηγήσει σε εκτεταμένες διακοπές διαδικτυακών υπηρεσιών, επηρεάζοντας τόσο τους ιδιώτες χρήστες όσο και τις επιχειρήσεις.
Τέλος, η ύπαρξη του PurpleFox σε έναν υπολογιστή μπορεί να οδηγήσει σε αυξημένο κόστος συντήρησης και επισκευής. Οι χρήστες που δεν είναι εξοικειωμένοι με την τεχνολογία, μπορεί να χρειαστεί να πληρώσουν για την αφαίρεση του malware, την αποκατάσταση των αρχείων και την επισκευή των ζημιών που προκλήθηκαν από την επίθεση.
Πηγή: www.bleepingcomputer.com
 προειδοποιεί για επιθέσεις που διανέμουν το PurpleFox malware){kind=link}