AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Avviso CERT-UA: epidemia di PurpleFox in Ucraina

Sotto attacco: le misure di contrasto all'infiltrazione di PurpleFox in Ucraina

Il CERT-UA ucraino ha rilevato un'ampia diffusione del malware PurpleFox, consigliando l'aggiornamento dei sistemi e l'uso di antivirus per identificare e rimuovere il virus.

Contribuisci a diffondere la cultura della prevenzione!
Sostieni la nostra causa con una piccola donazione aiutandoci a sensibilizzare utenti e aziende sulle minacce informatiche e sulle soluzioni di difesa.

This pill is also available in English language

Il team di risposta alle emergenze informatiche ucraino, CERT-UA, ha lanciato un allarme riguardante una significativa ondata di infezioni da malware PurpleFox, coinvolgendo oltre 2000 computer nel territorio nazionale. Benché l'impatto specifico della diffusione non sia stato ancora completamente quantificato, sono stati pubblicati dettagli operativi per identificare e neutralizzare questo software pericoloso. PurpleFox, noto anche come "DirtyMoe", è una minaccia rilevata per la prima volta nel 2018, dotata di un modulo rootkit che gli consente di occultarsi e persistere anche dopo il riavvio dei dispositivi.

L'ascesa furtiva di PurpleFox

Recuperando gli Indicatori di Compromissione (IoC) forniti da Avast e TrendMicro, CERT-UA ha individuato le tracce dell'infezione da PurpleFox, seguita sotto il codice d'identificazione "UAC-0027". L'agente malevolo ha la capacità di auto-propagazione sfruttando vulnerabilità note e la forza bruta sulle password. Per la mitigazione del rischio, si raccomanda il confinamento dei sistemi con OS e software non aggiornati mediante VLAN o segmentazione fisica della rete, con filtri di ingresso/uscita per prevenire la diffusione del malware.

Scoprire e rimuovere PurpleFox

Per identificare un'infezione in atto, si suggerisce di monitorare le connessioni di rete verso porte ad alto numero (oltre 10.000) e di verificare la presenza di certe chiavi del registro tramite regedit.exe. Ulteriore analisi comprende il controllo dell'Event Viewer alla ricerca di eventi specifici e la presenza di directory non comuni in "Program Files". Si consiglia di prestare attenzione alla persistenza dell'esecuzione del malware, spesso nascosto da un rootkit, osservando specifiche locazioni di servizi e file.

Protocollo di decontaminazione di PurpleFox

In caso di conferma dell'infezione, l'ente di sicurezza ucraino suggerisce l'uso di Avast Free AV per un'analisi "SMART" e la rimozione di tutti i moduli. In alternativa, si può avviare da LiveUSB o collegare l'unità infetta a un sistema non compromesso per cancellare i moduli "MsXXXXXXXXApp.dll" e ".sdb". Successivamente, sarà necessario rimuovere i servizi infetti dal registro. Prima di ritornare alla normale operatività, è vitale assicurarsi che non si verifichino nuove infezioni bloccando, tramite il firewall di Windows, il traffico in entrata dalle porte comunemente utilizzate da PurpleFox per propagarsi.

Seguici su Twitter per altre pillole come questa

01/02/2024 17:20

Editorial AI

Ultime pillole

La tenace attività di LockBit malgrado le indagini globaliSfide e contromisure nella guerra al grupo cyber criminale LockBit

Avast sanzionata per vendita illegittima di dati webMulte e restrizioni imposte alla società di sicurezza informatica per uso scorretto di dati personali

KeyTrap: falla DNSSEC individuata da ricercatoriLa vulnerabilità mette a rischio la stabilità del DNSSEC

Patto tra aziende tecnologiche contro la manipolazione elettoraleIniziativa congiunta nel settore tecnologico per preservare l'integrità del voto democratico