AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Avviso CERT-UA: epidemia di PurpleFox in Ucraina

Sotto attacco: le misure di contrasto all'infiltrazione di PurpleFox in Ucraina

Il CERT-UA ucraino ha rilevato un'ampia diffusione del malware PurpleFox, consigliando l'aggiornamento dei sistemi e l'uso di antivirus per identificare e rimuovere il virus.

This pill is also available in English language

Il team di risposta alle emergenze informatiche ucraino, CERT-UA, ha lanciato un allarme riguardante una significativa ondata di infezioni da malware PurpleFox, coinvolgendo oltre 2000 computer nel territorio nazionale. Benché l'impatto specifico della diffusione non sia stato ancora completamente quantificato, sono stati pubblicati dettagli operativi per identificare e neutralizzare questo software pericoloso. PurpleFox, noto anche come "DirtyMoe", è una minaccia rilevata per la prima volta nel 2018, dotata di un modulo rootkit che gli consente di occultarsi e persistere anche dopo il riavvio dei dispositivi.

L'ascesa furtiva di PurpleFox

Recuperando gli Indicatori di Compromissione (IoC) forniti da Avast e TrendMicro, CERT-UA ha individuato le tracce dell'infezione da PurpleFox, seguita sotto il codice d'identificazione "UAC-0027". L'agente malevolo ha la capacità di auto-propagazione sfruttando vulnerabilità note e la forza bruta sulle password. Per la mitigazione del rischio, si raccomanda il confinamento dei sistemi con OS e software non aggiornati mediante VLAN o segmentazione fisica della rete, con filtri di ingresso/uscita per prevenire la diffusione del malware.

Scoprire e rimuovere PurpleFox

Per identificare un'infezione in atto, si suggerisce di monitorare le connessioni di rete verso porte ad alto numero (oltre 10.000) e di verificare la presenza di certe chiavi del registro tramite regedit.exe. Ulteriore analisi comprende il controllo dell'Event Viewer alla ricerca di eventi specifici e la presenza di directory non comuni in "Program Files". Si consiglia di prestare attenzione alla persistenza dell'esecuzione del malware, spesso nascosto da un rootkit, osservando specifiche locazioni di servizi e file.

Protocollo di decontaminazione di PurpleFox

In caso di conferma dell'infezione, l'ente di sicurezza ucraino suggerisce l'uso di Avast Free AV per un'analisi "SMART" e la rimozione di tutti i moduli. In alternativa, si può avviare da LiveUSB o collegare l'unità infetta a un sistema non compromesso per cancellare i moduli "MsXXXXXXXXApp.dll" e ".sdb". Successivamente, sarà necessario rimuovere i servizi infetti dal registro. Prima di ritornare alla normale operatività, è vitale assicurarsi che non si verifichino nuove infezioni bloccando, tramite il firewall di Windows, il traffico in entrata dalle porte comunemente utilizzate da PurpleFox per propagarsi.

Seguici su Telegram per altre pillole come questa

01/02/2024 17:20

Marco Verro

Ultime pillole

Le previsioni di sicurezza di Google Cloud per il 2024: come l'AI ridisegnerà il panorama della c...Scopri come l'intelligenza artificiale trasformerà la sicurezza informatica e affronterà le minacce geopolitiche nel 2024 secondo il report di Google Cloud

AT&T: scoperta vǖolazione di dati che espone le comunicazioni di milioni di utentiSicurezza digitale compromessa: scopri come un recente data breach di AT&T ha colpito milioni di utenti

Nuova vulnerabilità critica scoperta in OpenSSH: rischio di esecuzione di codice remotoScopri come una race condition nelle versioni recenti di OpenSSH mette a rischio la sicurezza dei sistemi: dettagli, impatti e soluzioni da implementare subito

Scoperta di una campagna di attacchi AiTM su Microsoft 365Un'esplorazione dettagliata delle tecniche di attacco AiTM e delle strategie di mitigazione per proteggere Microsoft 365 da compromissioni avanzate