Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha lanciato un allarme riguardo a una campagna di malware PurpleFox che ha infettato almeno 2.000 computer nel paese. Il malware, noto anche come ‘DirtyMoe’, è stato rilevato per la prima volta nel 2018 e si caratterizza per la sua modularità e per l’inclusione di un modulo rootkit che gli consente di nascondersi e persistere tra i riavvii del dispositivo.
PurpleFox può funzionare come downloader per payload di secondo livello più potenti su sistemi compromessi, offrire capacità di backdoor agli operatori e agire anche come bot per attacchi Distributed Denial of Service (DDoS). La versione più recente del malware ha adottato WebSocket per le comunicazioni di comando e controllo (C2), aumentando la furtività.
Per identificare le infezioni da PurpleFox, CERT-UA suggerisce di esaminare le connessioni di rete verso porte “alte” (10000+), utilizzare regedit.exe per controllare determinati valori del registro, analizzare il registro eventi “Application” in Event Viewer per specifici ID evento e verificare la presenza di cartelle con nomi casuali in “C:\Program Files”. Il malware usa servizi e memorizza file in directory specifiche, rese difficili da rilevare/rimuovere da un rootkit.
La rimozione di PurpleFox può essere complicata a causa del suo uso di un rootkit, ma CERT-UA fornisce istruzioni dettagliate per rilevare e eliminare il malware, incluse operazioni sul disco e consigli per evitare reinfezioni. Questo sottolinea l’importanza di abilitare il firewall su Windows e creare una regola per bloccare il traffico in entrata dalle porte 135, 137, 139 e 445 per prevenire ulteriori compromissioni.
