Avviso CERT-UA: epidemia di PurpleFox in Ucraina

Il team di risposta alle emergenze informatiche ucraino, CERT-UA, ha lanciato un allarme riguardante una significativa ondata di infezioni da malware PurpleFox, coinvolgendo oltre 2000 computer nel territorio nazionale. Benché l'impatto specifico della diffusione non sia stato ancora completamente quantificato, sono stati pubblicati dettagli operativi per identificare e neutralizzare questo software pericoloso. PurpleFox, noto anche come "DirtyMoe", è una minaccia rilevata per la prima volta nel 2018, dotata di un modulo rootkit che gli consente di occultarsi e persistere anche dopo il riavvio dei dispositivi.

L'ascesa furtiva di PurpleFox

Recuperando gli Indicatori di Compromissione (IoC) forniti da Avast e TrendMicro, CERT-UA ha individuato le tracce dell'infezione da PurpleFox, seguita sotto il codice d'identificazione "UAC-0027". L'agente malevolo ha la capacità di auto-propagazione sfruttando vulnerabilità note e la forza bruta sulle password. Per la mitigazione del rischio, si raccomanda il confinamento dei sistemi con OS e software non aggiornati mediante VLAN o segmentazione fisica della rete, con filtri di ingresso/uscita per prevenire la diffusione del malware.

Scoprire e rimuovere PurpleFox

Per identificare un'infezione in atto, si suggerisce di monitorare le connessioni di rete verso porte ad alto numero (oltre 10.000) e di verificare la presenza di certe chiavi del registro tramite regedit.exe. Ulteriore analisi comprende il controllo dell'Event Viewer alla ricerca di eventi specifici e la presenza di directory non comuni in "Program Files". Si consiglia di prestare attenzione alla persistenza dell'esecuzione del malware, spesso nascosto da un rootkit, osservando specifiche locazioni di servizi e file.

Protocollo di decontaminazione di PurpleFox

In caso di conferma dell'infezione, l'ente di sicurezza ucraino suggerisce l'uso di Avast Free AV per un'analisi "SMART" e la rimozione di tutti i moduli. In alternativa, si può avviare da LiveUSB o collegare l'unità infetta a un sistema non compromesso per cancellare i moduli "MsXXXXXXXXApp.dll" e ".sdb". Successivamente, sarà necessario rimuovere i servizi infetti dal registro. Prima di ritornare alla normale operatività, è vitale assicurarsi che non si verifichino nuove infezioni bloccando, tramite il firewall di Windows, il traffico in entrata dalle porte comunemente utilizzate da PurpleFox per propagarsi.