AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Avviso CERT-UA: epidemia di PurpleFox in Ucraina

Sotto attacco: le misure di contrasto all'infiltrazione di PurpleFox in Ucraina

Il CERT-UA ucraino ha rilevato un'ampia diffusione del malware PurpleFox, consigliando l'aggiornamento dei sistemi e l'uso di antivirus per identificare e rimuovere il virus.

Contribute to spreading the culture of prevention!
Support our cause with a small donation by helping us raise awareness among users and companies about cyber threats and defense solutions.

This pill is also available in English language

Il team di risposta alle emergenze informatiche ucraino, CERT-UA, ha lanciato un allarme riguardante una significativa ondata di infezioni da malware PurpleFox, coinvolgendo oltre 2000 computer nel territorio nazionale. Benché l'impatto specifico della diffusione non sia stato ancora completamente quantificato, sono stati pubblicati dettagli operativi per identificare e neutralizzare questo software pericoloso. PurpleFox, noto anche come "DirtyMoe", è una minaccia rilevata per la prima volta nel 2018, dotata di un modulo rootkit che gli consente di occultarsi e persistere anche dopo il riavvio dei dispositivi.

L'ascesa furtiva di PurpleFox

Recuperando gli Indicatori di Compromissione (IoC) forniti da Avast e TrendMicro, CERT-UA ha individuato le tracce dell'infezione da PurpleFox, seguita sotto il codice d'identificazione "UAC-0027". L'agente malevolo ha la capacità di auto-propagazione sfruttando vulnerabilità note e la forza bruta sulle password. Per la mitigazione del rischio, si raccomanda il confinamento dei sistemi con OS e software non aggiornati mediante VLAN o segmentazione fisica della rete, con filtri di ingresso/uscita per prevenire la diffusione del malware.

Scoprire e rimuovere PurpleFox

Per identificare un'infezione in atto, si suggerisce di monitorare le connessioni di rete verso porte ad alto numero (oltre 10.000) e di verificare la presenza di certe chiavi del registro tramite regedit.exe. Ulteriore analisi comprende il controllo dell'Event Viewer alla ricerca di eventi specifici e la presenza di directory non comuni in "Program Files". Si consiglia di prestare attenzione alla persistenza dell'esecuzione del malware, spesso nascosto da un rootkit, osservando specifiche locazioni di servizi e file.

Protocollo di decontaminazione di PurpleFox

In caso di conferma dell'infezione, l'ente di sicurezza ucraino suggerisce l'uso di Avast Free AV per un'analisi "SMART" e la rimozione di tutti i moduli. In alternativa, si può avviare da LiveUSB o collegare l'unità infetta a un sistema non compromesso per cancellare i moduli "MsXXXXXXXXApp.dll" e ".sdb". Successivamente, sarà necessario rimuovere i servizi infetti dal registro. Prima di ritornare alla normale operatività, è vitale assicurarsi che non si verifichino nuove infezioni bloccando, tramite il firewall di Windows, il traffico in entrata dalle porte comunemente utilizzate da PurpleFox per propagarsi.

Follow us on Instagram for more pills like this

02/01/2024 17:20

Editorial AI

Last pills

LockBit's response to FBI actionsLockBit's technological revenge: post-attack updates and awareness

LockBit's tenacious activity despite global investigationsChallenges and countermeasures in the war against the LockBit cyber criminal group

Avast fined for illegitimate sale of web dataFines and restrictions imposed on cybersecurity company for misuse of personal data

KeyTrap: DNSSEC flaw discovered by researchersThe vulnerability puts the stability of DNSSEC at risk