Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Malware PurpleFox ataca miles de ordenadores en Ucrania

Escrito por Alexander Chapellin | Feb 3, 2024 2:00:00 PM

La ciberseguridad se ha convertido en una preocupación primordial para individuos, empresas y naciones. Recientemente, Ucrania se ha convertido en el epicentro de un ataque masivo de malware, específicamente del tipo conocido como PurpleFox.

 

¿Qué es PurpleFox?

 

PurpleFox es un malware, o software malicioso, que inicialmente fue identificado alrededor de 2018. Se caracteriza por su capacidad para infiltrarse en sistemas sin ser detectado, abusando de vulnerabilidades existentes en el software de los dispositivos afectados. Una vez instalado, puede realizar una serie de actividades maliciosas, desde robar información personal hasta instalar software adicional sin el consentimiento del usuario.

 

Te podrá interesar leer:  Análisis de Malware con Wazuh

 

El Impacto de PurpleFox en Ucrania

 

El Equipo de Respuesta a Emergencias Informáticas en Ucrania (CERT-UA) ha emitido una advertencia acerca de una campaña de malware conocido como PurpleFox que ha infectado al menos 2.000 computadoras en el territorio del país.

Aún no se ha determinado el impacto preciso de esta infección generalizada, y se desconoce si ha afectado a organizaciones gubernamentales o a computadoras pertenecientes a individuos comunes. No obstante, la agencia ha compartido información detallada sobre cómo identificar infecciones y eliminar el malware.

PurpleFox, también conocido como 'DirtyMoe', es un malware modular de botnet diseñado para sistemas Windows, que fue identificado por primera vez en 2018. Este malware incluye un módulo de rootkit que le permite ocultarse y persistir en el dispositivo incluso después de reinicios.

Su funcionalidad incluye la capacidad de actuar como un descargador que introduce cargas útiles más poderosas en sistemas comprometidos. También proporciona capacidades de puerta trasera para sus operadores y puede operar como un bot de denegación de servicio distribuido (DDoS).

En octubre de 2021, los investigadores observaron que las nuevas versiones de PurpleFox comenzaron a utilizar WebSocket para establecer comunicaciones de comando y control (C2) de manera sigilosa. Luego, en enero de 2022, se detectó una campaña que distribuía el malware disfrazado como una aplicación de escritorio de Telegram.

 

Conoce más sobre:   Descubriendo los canales en Telegram de la Dark Web

 

Onda de Infección en Ucrania

 

El Equipo de Respuesta a Emergencias Informáticas en Ucrania (CERT-UA) ha identificado una ola de infecciones de malware PurpleFox en computadoras ucranianas utilizando indicadores de compromiso compartidos por Avast y TrendMicro, rastreando la actividad bajo el nombre clave 'UAC-0027'.

En el marco de una exhaustiva investigación de esta ciberamenaza, CERT-UA analizó las muestras de software malicioso recibidas, identificó las características de la infraestructura operativa de los servidores de control y descubrió más de 2.000 computadoras infectadas en el segmento ucraniano de Internet.

PurpleFox generalmente infecta sistemas cuando las víctimas ejecutan instaladores MSI, aprovechando exploits para vulnerabilidades conocidas y empleando fuerza bruta en contraseñas.

Como medida de prevención, la agencia recomienda aislar los sistemas que utilizan versiones obsoletas de sistemas operativos y software, utilizando VLAN o segmentación de red física con filtrado entrante y saliente para evitar la propagación del malware.

Entre el 20 y el 31 de enero de 2024, CERT-UA monitoreó las computadoras infectadas, identificando 486 direcciones IP de servidores de control intermedio, la mayoría de los cuales se encuentran en China. Eliminar PurpleFox puede ser un desafío debido al uso de un rootkit, pero existen métodos efectivos para detectar y eliminar el malware.

 

También te podrá interesar:  Malware ZLoader Renace: Nueva Variante de Malware en 2024

 

 

Para detectar infecciones de PurpleFox, se sugiere a los usuarios realizar las siguientes acciones:

 

  1. Examinar las conexiones de red en puertos "altos" (10000+) utilizando la lista de direcciones IP en el informe adjunto.
  2. Utilizar regedit.exe para verificar los siguientes valores de registro según la versión de Windows utilizada.
     
    • Windows XP: HKEY_LOCAL_MACHINE\ControlSet001\Services\AC0[0-9]
    • Windows 7: HKEY_LOCAL_MACHINE\Software\Microsoft\DirectPlay8\Direct3D
  3. Analizar el registro de "Aplicación" en el Visor de eventos en busca de los ID de evento 1040 y 1042 con la fuente "MsiInstaller".

  4. Inspeccionar "C:\Program Files" en busca de carpetas con nombres aleatorios, como por ejemplo "C:\Program Files\dvhvA".

  5. Verificar la ejecución persistente del malware, que utiliza servicios y almacena archivos en directorios específicos protegidos por el rootkit. Las ubicaciones clave son:
     
    • HKEY_LOCAL_MACHINE\System\ControlSet001\services\MsXXXXXXXXApp
    • C:\Windows\System32\MsXXXXXXXXApp.dll
    • C:\Windows\AppPatch\DBXXXXXXXXMK.sdb, RCXXXXXXXXMS.sdb, TKXXXXXXXXMS.sdb (donde XXXXXXXX es una secuencia aleatoria [A-F0-9]{8}, por ejemplo, "MsBA4B6B3AApp.dll")

Si alguna de las acciones anteriores indica una infección de PurpleFox, CERT-UA sugiere utilizar Avast Free AV para realizar un análisis "INTELIGENTE" o llevar a cabo los siguientes pasos:

  1. Arrancar desde LiveUSB o conectar la unidad infectada a otra computadora.
  2. Eliminar manualmente los módulos "MsXXXXXXXXApp.dll" y ".sdb".
  3. Iniciar normalmente y eliminar el servicio del registro.

Para operaciones en disco, siga los siguientes pasos:

  1. Utilizar lsblk y fdisk -lu /dev/sda para identificar particiones.
  2. Montar la partición del sistema en modo lectura-escritura: mount -orw,offset=$((512*206848)) /dev/sda /mnt/
  3. Buscar y eliminar archivos en /mnt/Windows/AppPatch y /mnt/Windows/System32 (por ejemplo, ls -lat /mnt/Windows/AppPatch/ y rm -rf /mnt/Windows/AppPatch/RC2EE39E00MS.sdb).
  4. Desmontar con desmontar /mnt/.

Luego de la limpieza, para evitar futuras infecciones de PurpleFox, se recomienda habilitar el firewall en Windows y crear una regla para bloquear el tráfico entrante en los puertos 135, 137, 139 y 445.

 

Conoce más sobre:  Herramientas de Aislamiento de Malware Potencial

 

Conclusión

 

El malware PurpleFox es un recordatorio de que los ciberataques son una amenaza constante y en evolución. A medida que los atacantes se vuelven más sofisticados en sus métodos, igualmente debemos ser diligentes en nuestra defensa. La experiencia de Ucrania nos enseña la importancia de mantenernos informados, preparados y resilientes frente a las amenazas cibernéticas.

Al adoptar prácticas de seguridad cibernética sólidas y fomentar la cooperación internacional, podemos esperar estar un paso adelante de los atacantes y proteger nuestra infraestructura crítica y datos personales de futuros ataques. Descubre cómo nuestro SOC as a Service puede blindar tu infraestructura digital contra amenazas avanzadas.

 
Ver post completo