El Equipo de Respuesta a Emergencias Informáticas en Ucrania (CERT-UA) advierte sobre una campaña de malware PurpleFox que ha infectado al menos 2,000 computadoras en el país.
El Equipo de Respuesta a Emergencias Informáticas en Ucrania (CERT-UA) está alertando sobre una campaña de malware PurpleFox que ha infectado al menos 2,000 computadoras en el país.
Características del Malware
PurpleFox (o ‘DirtyMoe’) es un malware modular de botnet para Windows, identificado por primera vez en 2018. Este malware cuenta con un módulo de rootkit que le permite ocultarse y persistir entre reinicios del dispositivo.
Puede actuar como un descargador que introduce cargas útiles de segundo nivel más potentes en sistemas comprometidos, ofrece capacidades de puerta trasera a sus operadores y también puede actuar como un bot de denegación de servicio distribuido (DDoS).
Evolución del Malware
En octubre de 2021, los investigadores notaron que nuevas versiones de PurpleFox cambiaron a utilizar WebSocket para las comunicaciones de comando y control (C2) con el objetivo de ser más sigilosas. En enero de 2022, una campaña propagó el malware bajo la apariencia de una aplicación de escritorio de Telegram.
Ola de Infección en Ucrania
CERT-UA utilizó Indicadores de Compromiso (IoCs) compartidos por Avast y TrendMicro para identificar infecciones de PurpleFox en computadoras ucranianas, rastreando la actividad bajo el identificador ‘UAC-0027’.
La agencia recomienda aislar sistemas que ejecutan versiones desactualizadas de sistemas operativos y software utilizando VLAN o segmentación de red física con filtrado de entrada/salida para evitar la propagación.
CERT-UA monitoreó hosts infectados entre el 20 y el 31 de enero de 2024, detectando 486 direcciones IP de servidores de control intermedios, la mayoría ubicados en China.
Detección y Eliminación
La eliminación de PurpleFox es desafiante debido a su uso de un rootkit, pero aún existen métodos efectivos para detectar y erradicar el malware.
Detección de Infecciones
Para descubrir infecciones de PurpleFox, se recomienda a los usuarios realizar lo siguiente:
- Examinar las conexiones de red a puertos “altos” (10000+) utilizando la lista de direcciones IP en el apéndice del informe.
- Utilizar regedit.exe para verificar los siguientes valores del registro:
- Windows XP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
- Windows 7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
- Analizar el registro de eventos “Application” en el Visor de eventos en busca de eventos IDs 1040 y 1042, fuente: “MsiInstaller”.
- Verificar la ejecución persistente del malware, que utiliza servicios y almacena archivos en directorios específicos, obstaculizado por un rootkit para su detección/eliminación. Las ubicaciones clave son:
- HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp
- C:\Windows\System32\MsXXXXXXXXApp.dll
- C:\Windows\AppPatch\DBXXXXXXXXMK.sdb, RCXXXXXXXXMS.sdb, TKXXXXXXXXMS.sdb (donde XXXXXXXX es una secuencia aleatoria [A-F0-9]{8}, por ejemplo, “MsBA4B6B3AApp.dll”).
Eliminación de la Infección
Si alguna de las indicaciones anteriores señala una infección de PurpleFox, CERT-UA sugiere usar Avast Free AV para ejecutar un escaneo “SMART” y eliminar todos los módulos, o realizar los siguientes pasos:
- Iniciar desde un LiveUSB o conectar la unidad infectada a otra computadora.
- Eliminar manualmente “MsXXXXXXXXApp.dll” y los módulos “.sdb”.
- Iniciar normalmente y eliminar el servicio del registro.
- Para operaciones de disco:
- Utilizar lsblk y fdisk -lu /dev/sda para identificar particiones.
- Montar la partición del sistema en modo de lectura-escritura: mount -orw,offset=$((512*206848)) /dev/sda /mnt/.
- Buscar y eliminar archivos en /mnt/Windows/AppPatch y /mnt/Windows/System32 (por ejemplo, ls -lat /mnt/Windows/AppPatch/ y rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb).
- Desmontar con umount /mnt/.