Supprimer les logiciels malveillants DirtyMoe

Le DirtyMoe Malware est un projet malveillant qui a rapidement accéléré son rythme au cours des deux derniers mois. Actuellement, il existe plus de 100 000 infections actives avec le logiciel malveillant DirtyMoe dans le monde, et les ordinateurs de ces victimes sont utilisés pour extraire des crypto-monnaies ou pour exécuter des attaques par déni de service distribué (DDoS). Le botnet en croissance rapide du logiciel malveillant DirtyMoe pourrait bientôt devenir un problème grave, car cet implant permet à ses opérateurs de déployer des charges utiles supplémentaires sur des machines compromises. Cela signifie que si les criminels décident de le faire, ils pourraient installer des ransomwares, des infostealers et d'autres menaces très médiatisées sur les machines infectées.

Bien que le logiciel malveillant DirtyMoe ne brille par rien de spécial en termes de fonctionnalité, il excelle lorsqu'il s'agit d'être furtif et évasif. Les criminels ont développé un pilote Windows malveillant, qui sert de rootkit qui accorde la persistance du DirtyMoe Malware. Le faux pilote en question est capable de masquer la présence de DirtyMoe Malware dans le registre, les services et même la liste des pilotes. L'adresse du serveur de commande et de contrôle est également dynamique, il serait donc impossible de simplement bloquer la plage IP sur laquelle DirtyMoe Malware s'appuie pour être contrôlée - elle sera immédiatement remplacée par une plage fonctionnelle.

Il convient de noter que les créateurs de DirtyMoe Malware s'appuient fortement sur l'exploit EternalBlue, qui a été signalé pour la première fois en 2017. Bien que les utilisateurs et les administrateurs aient eu quatre ans pour mettre à niveau et corriger leurs systèmes, il reste encore plus de 9 millions d'appareils vulnérables à l'exploit EternalBlue. . La majorité des instances actives de DirtyMoe Malware sont situées en Russie (65 000) - suivie de près par l'Europe et l'Asie.

Une fois déployé, le logiciel malveillant DirtyMoe apporte diverses modifications au système compromis - il désactivera l'antivirus Microsoft Defender, ainsi que la protection des fichiers Windows. Il arrête également le service Server Message Block (SMB) pour empêcher d'autres logiciels malveillants d'infecter le système compromis.

Après cela, les ressources matérielles du système infecté sont continuellement récoltées pour extraire la crypto-monnaie. Tout récemment, des chercheurs ont également remarqué que le réseau DirtyMoe Malware était également utilisé pour des attaques DDoS. Bien que cela ne se soit pas encore produit, il est possible pour les opérateurs du malware d'exécuter des malwares supplémentaires sur les systèmes compromis.

L'opération DirtyMoe Malware est toujours en cours et le taux d'infection a considérablement augmenté au cours des deux derniers mois. Vous pouvez protéger votre réseau en appliquant les dernières mises à jour et correctifs, ainsi qu'en utilisant un logiciel antivirus réputé.