L’Équipe d’intervention en cas d’urgence informatique en Ukraine (CERT-UA) met en garde contre une campagne de logiciels malveillants PurpleFox qui a infecté au moins 2 000 ordinateurs dans le pays.

L’impact exact de cette infection généralisée et si elle a affecté les organisations étatiques ou les ordinateurs des gens ordinaires n’a pas été déterminé, mais l’agence a partagé des informations détaillées sur la façon de localiser les infections et de supprimer les logiciels malveillants.

PurpleFox (ou « DirtyMoe ») est un malware modulaire de botnet Windows repéré pour la première fois en 2018 qui est livré avec un module de rootkit lui permettant de se cacher et de persister entre les redémarrages de l’appareil.

Il peut être utilisé comme téléchargeur qui introduit des charges utiles de deuxième étape plus puissantes sur les systèmes compromis, offre à ses opérateurs des capacités de porte dérobée et peut également agir comme un robot de déni de service distribué (DDoS).

En octobre 2021, les chercheurs ont remarqué que les nouvelles versions de PurpleFox sont passées à l’utilisation de WebSocket pour les communications de commande et de contrôle (C2) pour la furtivité. En janvier 2022, une campagne a diffusé le logiciel malveillant sous le couvert d’une application de bureau Telegram.

Vague d’infection ukrainienne
CERT-UA a utilisé des IOC partagés par Avast et TrendMicro pour identifier les infections par des logiciels malveillants PurpleFox sur les ordinateurs ukrainiens, en suivant l’activité sous l’identifiant ‘ UAC-0027.’

« Au cours d’une étude détaillée de la cybermenace, des recherches ont été menées sur les échantillons de logiciels malveillants reçus, les caractéristiques de l’infrastructure d’exploitation des serveurs de contrôle ont été identifiées et plus de 2000 ordinateurs infectés dans le segment ukrainien d’Internet ont été découverts », explique CERT-UA dans un avertissement de sécurité traduit automatiquement.

CERT-UA indique que PurpleFox infecte généralement les systèmes lorsque les victimes lancent des programmes d’installation MSI lacés et met en évidence ses capacités d’auto-propagation en utilisant des exploits pour les failles connues et le forçage brutal des mots de passe.

L’agence recommande d’isoler les systèmes qui exécutent des versions et des logiciels obsolètes du système d’exploitation à l’aide d’un VLAN ou d’une segmentation du réseau physique avec filtrage entrant/sortant pour éviter la propagation.

CERT-UA a surveillé les hôtes infectés entre le 20 et le 31 janvier 2024, détectant 486 adresses IP de serveurs de contrôle intermédiaires, dont la plupart sont situées en Chine.

CERT-UA note que la suppression de PurpleFox est difficile en raison de son utilisation d’un rootkit, mais il existe encore des méthodes efficaces qui peuvent aider à détecter et à déraciner le malware.

Tout d’abord, pour découvrir les infections PurpleFox, il est recommandé aux utilisateurs de procéder comme suit:

  1. Examinez les connexions réseau aux ports » élevés  » (10000+) en utilisant la liste d’adresses IP dans l’annexe du rapport.
  2. Utilisez regedit.exe pour vérifier les valeurs de registre suivantes:
  3. Windows XP: CLÉ LOCALE MACHINE\Ensemble de contrôle 001 \ Services \ AC0[0-9]
  4. Sous Windows 7: CLÉ LOCALE MACHINE \ Logiciel \ Microsoft \ DirectPlay8 \ Direct3D
  5. Analysez l’observateur d’événements de connexion « Application » pour les ID d’événement 1040 et 1042, source: « MsiInstaller »
  6. Vérifier « C:\Program Fichiers » pour les dossiers avec des noms aléatoires, par exemple, » C:\Program Fichiers \ dvhvA »
  7. Vérifiez l’exécution persistante du malware, qui utilise des services et stocke des fichiers dans des répertoires spécifiques, empêchés par un rootkit de détecter/supprimer. Les emplacements clés sont:
  8. HKEY_LOCAL_MACHINE \ Système \ Ensemble de contrôle 001 \ services \ Application Ms XXXXXXXX
  9. C:\Windows\System32\MsXXXXXXXXApp.dll
  10. C:\Windows\AppPatch\DBXXXXXXXXMK.DDS, RC XXXXXXXX MME dds, TKXXXXXXXMS.BDS
  11. (où XXXXXXXX est une séquence aléatoire [A-F0-9]{8}, par exemple,  » MsBA4B6B3AApp.dll »)
Services ajoutés pour la persistance

Si l’un des éléments ci-dessus indique une infection PurpleFox, CERT-UA suggère soit d’utiliser Avast Free AV pour exécuter une analyse » INTELLIGENTE  » et à distance tous les modules, soit d’effectuer les étapes suivantes:

  1. Démarrez à partir de LiveUSB ou connectez le lecteur infecté à un autre ordinateur
  2. Supprimez manuellement  » MsXXXXXXXXApp.dll  » et « .modules de base de données
  3. Démarrez normalement et supprimez le service du registre

Pour les opérations sur disque:

  • Utilisez lsblk et fdisk-lu / dev / sda pour identifier les partitions
  • Montez la partition système en mode lecture-écriture: mount-orw, offset=$((512*206848)) /développement / sda / tmn/
  • Rechercher et supprimer des fichiers dans /mnt / Windows / AppPatch et/mnt/Windows / System32 (par exemple, ls-la /mnt/Windows/AppPatch/ et rm-rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb)
  • Démonter avec umount / mnt/

Après le nettoyage, pour éviter une réinfection de PurpleFox, ce qui est très probable s’il y a encore des machines infectées sur le même réseau, activez le pare-feu sous Windows et créez une règle pour bloquer le trafic entrant à partir des ports 135, 137, 139 et 445.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *