По информации компании Avast, в первой половине 2021 года ботнет DirtyMoe (он же PurpleFox, Perkiler и NuggetPhantom), еще в конце прошлого года насчитывавший порядка 10 000 зараженных машин, резко увеличился в размерах, и теперь речь идет о 100 000 пострадавших систем.

DirtyMoe активен с 2017 года и все это время его основной целью оставалось заражение Windows-систем с целью скрытого майнинга криптовалюты, хотя малварь также обладает функцией запуска DDoS-атак, появившейся еще 2018 году.

Обычно вредонос распространяется при помощи спама, который заманивает пользователей на вредоносные сайты, где размещается набор эксплоитов PurpleFox (1234). Он эксплуатирует различные уязвимости браузера (обычно Internet Explorer) для установки Windows-руткита, что предоставляет малвари полный контроль над зараженным хостом, который та использует для майнинга.

Avast сообщает, что с 2017 по 2020 год в ботнет DirtyMoe входили от нескольких сотен до нескольких тысяч зараженных систем, но недавно ситуация резко изменилась. В конце 2020 года операторы DirtyMoe оснастили свою малварь модулем червя,  который позволяет ей самостоятельно распространяться через интернет на другие уязвимые машины. Этот модуль сканирует сеть и выполняет автоматически брутфорс-атаки на удаленные компьютеры, которые оставили свой порт SMB открытым.

Этот модуль позволил вредоносу резко увеличить количество заражений, и только в текущем году было заражено более 100 000 систем. Причем эта статистика основана на данных Avast, то есть собрана только с тех машин, где установлен антивирус компании. Фактический размер ботнета DirtyMoe, скорее всего, намного больше.

Оставить мнение