Una investigación realizada por los especialistas de amenazas Avast pudo identificar que el malware NuggetPhanton había sido la primera versión de DirtyMoe visto por primera vez el 2016, su propósito principal es infectar los sistemas operativos Windows para minar criptomonedas (Cryptojacking) y realizar ataques DDoS. Este malware a evolucionando en el tiempo utilizando técnicas anti-forenses, anti-rastreo y anti-depuración, para no ser detectado. Actualmente existe aproximadamente 100.000 equipos infectados hasta la fecha según detecciones de Avast, además se presume que los autores de esta amenaza provienen de China.
El malware PurpleFox tiene una estrecha relación con el DirtyMoe ambas tienen una infraestructura de red compleja y sofisticadas con muchas similitudes, por lo tanto los investigadores concluyen que podrían ser obra del mismo grupo de amenaza.
“El malware implementa muchas técnicas de autodefensa y ocultación en las capas local, de red y del kernel. La comunicación con los servidores C&C se basa en solicitudes de DNS y utiliza un mecanismo especial que traduce los resultados de DNS a una dirección IP real. Por lo tanto, el bloqueo de servidores C&C no es una tarea fácil, ya que las direcciones C&C son diferentes cada vez”
Los cibercriminales utilizan varias técnicas para infectar los equipos, desde un reconocimiento escaneos de puertos para detectar vulnerabilidades, envió de correos maliciosos (phishing), instalación de programas que simulan ser legítimos, instalación de keygen y activadores. De esa forma se aprovechan de las debilidades de los sistemas para poder infectarlos. También se ha observado que utilizan algunas vulnerabilidades conocidas:
- CVE-2020-0674
- CVE-2017-0144
- CVE-2019-1458
- CVE-2015-1701
- CVE-2018-8120
- CVE-2014-6332
Avast identificó gracias a su telemetría que Rusia es el país con más infecciones detectadas y los países sudamericanos es liderado por Brasil y Venezuela.
Los investigadores identificaron que la mayoría de los servidores C&C se encuentran en China, luego Estados Unidos, South Korea, Hong Hong, Brasil, India Indonesia, Taiwán, Vietnam y Rusia.
La instalación del malware es a través de un archivo con extensión MSI que se puede ejecutar de forma silenciosa sin la necesidad de la interacción del usuario, luego el sistema requiere reiniciar para aplicar la persistencia y los cambios en el sistema, pero el archivo de instalación posee reinicio diferido sin ser detectado por el usuario. Luego de ser reiniciado el malware sobreescribe los archivos del sistema definidos y se ejecuta el malware. Este malware se centra en desactivar las funciones de protección de archivos y anti-spyware.
