AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Avviso CERT-UA: epidemia di PurpleFox in Ucraina

Sotto attacco: le misure di contrasto all'infiltrazione di PurpleFox in Ucraina

Il CERT-UA ucraino ha rilevato un'ampia diffusione del malware PurpleFox, consigliando l'aggiornamento dei sistemi e l'uso di antivirus per identificare e rimuovere il virus.

This pill is also available in English language

Il team di risposta alle emergenze informatiche ucraino, CERT-UA, ha lanciato un allarme riguardante una significativa ondata di infezioni da malware PurpleFox, coinvolgendo oltre 2000 computer nel territorio nazionale. Benché l'impatto specifico della diffusione non sia stato ancora completamente quantificato, sono stati pubblicati dettagli operativi per identificare e neutralizzare questo software pericoloso. PurpleFox, noto anche come "DirtyMoe", è una minaccia rilevata per la prima volta nel 2018, dotata di un modulo rootkit che gli consente di occultarsi e persistere anche dopo il riavvio dei dispositivi.

L'ascesa furtiva di PurpleFox

Recuperando gli Indicatori di Compromissione (IoC) forniti da Avast e TrendMicro, CERT-UA ha individuato le tracce dell'infezione da PurpleFox, seguita sotto il codice d'identificazione "UAC-0027". L'agente malevolo ha la capacità di auto-propagazione sfruttando vulnerabilità note e la forza bruta sulle password. Per la mitigazione del rischio, si raccomanda il confinamento dei sistemi con OS e software non aggiornati mediante VLAN o segmentazione fisica della rete, con filtri di ingresso/uscita per prevenire la diffusione del malware.

Scoprire e rimuovere PurpleFox

Per identificare un'infezione in atto, si suggerisce di monitorare le connessioni di rete verso porte ad alto numero (oltre 10.000) e di verificare la presenza di certe chiavi del registro tramite regedit.exe. Ulteriore analisi comprende il controllo dell'Event Viewer alla ricerca di eventi specifici e la presenza di directory non comuni in "Program Files". Si consiglia di prestare attenzione alla persistenza dell'esecuzione del malware, spesso nascosto da un rootkit, osservando specifiche locazioni di servizi e file.

Protocollo di decontaminazione di PurpleFox

In caso di conferma dell'infezione, l'ente di sicurezza ucraino suggerisce l'uso di Avast Free AV per un'analisi "SMART" e la rimozione di tutti i moduli. In alternativa, si può avviare da LiveUSB o collegare l'unità infetta a un sistema non compromesso per cancellare i moduli "MsXXXXXXXXApp.dll" e ".sdb". Successivamente, sarà necessario rimuovere i servizi infetti dal registro. Prima di ritornare alla normale operatività, è vitale assicurarsi che non si verifichino nuove infezioni bloccando, tramite il firewall di Windows, il traffico in entrata dalle porte comunemente utilizzate da PurpleFox per propagarsi.

Seguici su Google News per altre pillole come questa

01/02/2024 17:20

Marco Verro

Ultime pillole

Il successo dell'Italia nella sicurezza informaticaCome l'Italia ha raggiunto l'eccellenza nella sicurezza informatica globale: strategie, collaborazioni e successi internazionali

Presunta violazione dei sistemi di Deloitte da parte di IntelBrokerServer esposto: come la sicurezza di Deloitte potrebbe essere stata compromessa da un cyber attacco

Infezioni di Vo1d su box Android TV: come proteggere i tuoi dispositiviScopri le misure essenziali per proteggere i tuoi box Android TV dal temibile malware Vo1d e mantenere i tuoi dispositivi al sicuro da minacce informatiche

Attacco hacker in Libano: Hezbollah sotto tiroShock tecnologico e feriti: la guerra cibernetica colpisce Hezbollah in Libano