Вредоносная программа DirtyMoe заразила более 100 000 систем Windows
Вредоносная программа, известная под именами DirtyMoe, PurpleFox, Perkiler и NuggetPhantom заражает системы и тайно майнит криптовалюту.
Количество заражений ботнетом вредоносного ПО, который, как предполагается, работает за пределами Китая, в этом году резко выросло: с 10 000 зараженных систем в 2020 году до более 100 000 в первой половине 2021 года.
Его основная цель заражение систем Windows и майнинг криптовалюты за спиной пользователя, хотя функция для запуска DDoS-атак также была замечена еще в 2018 году.
На протяжении большей части своего существования ботнет был мелкой операцией.
Его создатели в первую очередь полагались на электронный спам, чтобы заманить пользователей на вредоносные сайты, с размещенным на них набором эксплойтов PurpleFox.
Этот веб-инструмент атаки злоупотреблял уязвимостями браузера для установки компонента руткита в незащищенные системы Windows. Он предоставлял вредоносной программе полный контроль над зараженным хостом, который она использовала для майнинга криптовалют.
Этот руткит, уже не первый од гуляет по сети и представляется разными именами: DirtyMoe, PurpleFox, Perkiler и NuggetPhantom. Несмотря на то, что известность он приобрел давно, до недавних пор его считали незначительной угрозой.
Согласно данным Avast, ботнет DirtyMoe обычно составлял от нескольких сотен до нескольких тысяч зараженных систем ежегодно на протяжении большей части своей жизни с 2017 по 2020 год.
Ситуация радикально изменилась к концу 2021 года, когда банда DirtyMoe добавила обновление к своей работе и установила модуль червя, который мог позволить вредоносному ПО распространяться через Интернет в другие системы Windows.
Этот модуль сканировал Интернет и выполнял атаки методом перебора паролей на удаленные компьютеры Windows, которые оставили свой порт SMB открытым в сети.
Модуль распространения SMB позволил вредоносному ПО резко увеличить количество заражений. Avast назвал эту тенденцию логарифмической шкалой, отметив, что количество заражений уже перевалило за 100 000.
Однако это число основано только на отчетах Avast, а, следовательно, информация взята только с компьютеров, на которых установлен антивирус. Считается, что истинные число заражений ботнета DirtyMoe гораздо выше
Свидетельством этому является отчет китайской охранной компании Tencent, которая в начале месяца отметила всплеск заражения DirtyMoe / PurpleFox в Китае в течение 2021 года, что перекликается с аналогичным ростом числа заражений, о котором сообщает Avast в Европе и Америка.
Поскольку угроза продолжает расширяться, Avast составил отчет об эволюции вредоносного ПО и его действиях, а также индикаторы компрометации (IOC), которые помогут в обнаружении DirtyMoe.
Подписывайтесь на наш Telegram, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman
Автор: Ньют Саламандр, аналитик Freedman Сlub Crypto News
