O malware PurpleFox infecta milhares de computadores na Ucrânia
2 de Fevereiro de 2024

A Equipe de Resposta de Emergência em Computadores da Ucrânia (CERT-UA) está alertando sobre uma campanha de malware PurpleFox que infectou pelo menos 2.000 computadores no país.

O impacto exato dessa infecção generalizada e se ela afetou organizações estatais ou computadores de pessoas comuns ainda não foi determinado, mas a agência compartilhou informações detalhadas sobre como localizar infecções e remover o malware.

PurpleFox (ou 'DirtyMoe') é um malware de botnet modular para Windows, identificado pela primeira vez em 2018, que vem com um módulo rootkit permitindo que ele se esconda e persista entre as reinicializações do dispositivo.

Ele pode ser usado como um downloader que introduz payloads de segunda fase mais potentes em sistemas comprometidos, oferece a seus operadores capacidades de backdoor e também pode atuar como um bot de negação de serviço distribuído (DDoS).

Em outubro de 2021, pesquisadores perceberam que novas versões do PurpleFox mudaram para o uso de WebSocket para comunicações de comando e controle (C2) para furtividade.

Em janeiro de 2022, uma campanha espalhou o malware sob o disfarce de um aplicativo de desktop do Telegram.

A CERT-UA utilizou IoCs compartilhados pela Avast e TrendMicro para identificar infecções por malware PurpleFox em computadores ucranianos, monitorando a atividade sob o identificador 'UAC-0027'.

"Durante o estudo detalhado da ameaça cibernética foram realizadas pesquisas nas amostras de software malicioso recebido, as características da infraestrutura operacional dos servidores de controle foram identificadas e mais de 2000 computadores infectados no segmento ucraniano da internet foram descobertos", explica a CERT-UA em um alerta de segurança traduzido por máquina.

A CERT-UA diz que o PurpleFox normalmente infecta os sistemas quando as vítimas iniciam instaladores MSI envenenados e destaca suas capacidades de autoreplicação usando exploits para falhas conhecidas e força bruta nas senhas.

A agência recomenda isolar os sistemas que executam versões desatualizadas de sistemas operacionais e softwares usando VLAN ou segmentação física de rede com filtragem de entrada/saída para prevenir a propagação.

A CERT-UA observou hospedeiros infectados entre 20 e 31 de janeiro de 2024, detectando 486 endereços IP de servidor de controle intermediário, a maioria deles localizados na China.

A CERT-UA observa que a remoção do PurpleFox é desafiadora devido ao seu uso de um rootkit, mas ainda existem métodos eficazes que podem ajudar a detectar e erradicar o malware.

Primeiro, para descobrir infecções por PurpleFox, os usuários são recomendados a fazer o seguinte:

Examine as conexões de rede para portas "altas" (10000+) usando a lista de endereços IP no apêndice do relatório.

Use o regedit.exe para verificar os seguintes valores do registro:
WindowsXP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
Windows7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
Analise o log de "Aplicativos" no Visualizador de Eventos para os IDs de evento 1040 e 1042, fonte: "MsiInstaller"
Verifique "C:\Program Files" para pastas com nomes aleatórios, por exemplo, "C:\Program Files\dvhvA"
Verifique a execução persistente do malware, que utiliza serviços e armazena arquivos em diretórios específicos, impedido por um rootkit de detecção/remoção.

Locais-chave são:
HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp
C:\Windows\System32\MsXXXXXXXXApp.dll
C:\Windows\AppPatch\DBXXXXXXXXMK.sdb, RCXXXXXXXXMS.sdb, TKXXXXXXXXMS.sdb
(onde XXXXXXXX é uma sequência aleatória [A-F0-9]{8}, por exemplo, "MsBA4B6B3AApp.dll")


Se algum dos itens acima indicar infecção por PurpleFox, a CERT-UA sugere o uso do Avast Free AV para realizar uma varredura "SMART" e remover todos os módulos ou seguir os seguintes passos:

Inicie a partir do LiveUSB ou conecte o disco infectado a outro computador
Exclua manualmente "MsXXXXXXXXApp.dll" e os módulos ".sdb"
Inicialize normalmente e remova o serviço do registro


Para operações de disco:

Use lsblk e fdisk -lu /dev/sda para identificar partições
Monte a partição do sistema no modo de leitura e gravação: mount -orw,offset=$((512*206848)) /dev/sda /mnt/
Procure e remova arquivos em /mnt/Windows/AppPatch e /mnt/Windows/System32 (por exemplo, ls -lat /mnt/Windows/AppPatch/ e rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb)
Desmonte com umount /mnt/


Após a limpeza, para evitar a reinfecção pelo PurpleFox, que é muito provável se ainda houver máquinas infectadas na mesma rede, ative o firewall do Windows e crie uma regra para bloquear o tráfego de entrada nas portas 135, 137, 139 e 445.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...