Rimuovere il malware DirtyMoe
Il malware DirtyMoe è un progetto dannoso che ha rapidamente accelerato il suo ritmo negli ultimi due mesi. Attualmente, ci sono oltre 100.000 infezioni attive con il malware DirtyMoe in tutto il mondo e i computer di queste vittime vengono utilizzati per estrarre criptovalute o per eseguire attacchi DDoS (Distributed Denial of Service). La botnet in rapida crescita del malware DirtyMoe potrebbe presto rivelarsi un problema serio poiché questo impianto consente ai suoi operatori di distribuire payload aggiuntivi su macchine compromesse. Ciò significa che se i criminali decidono di farlo, potrebbero installare ransomware, infostealer e altre minacce di alto profilo sulle macchine infette.
Anche se il malware DirtyMoe non brilla per nulla di speciale in termini di funzionalità, eccelle quando si tratta di essere furtivo ed evasivo. I criminali hanno sviluppato un driver Windows dannoso, che funge da rootkit che garantisce la persistenza del malware DirtyMoe. Il falso driver in questione è in grado di mascherare la presenza di DirtyMoe Malware nel registro, nei servizi e persino nell'elenco dei driver. Anche l'indirizzo del server di comando e controllo è dinamico, quindi sarebbe impossibile bloccare semplicemente l'intervallo IP su cui DirtyMoe Malware fa affidamento per essere controllato: verrà immediatamente impostato su uno funzionante.
Vale la pena notare che i creatori di DirtyMoe Malware fanno molto affidamento sull'exploit EternalBlue, che è stato segnalato per la prima volta nel 2017. Sebbene gli utenti e gli amministratori abbiano avuto quattro anni per aggiornare e correggere i propri sistemi, ci sono ancora oltre 9 milioni di dispositivi vulnerabili all'exploit EternalBlue . La maggior parte delle istanze attive di DirtyMoe Malware si trova in Russia (65.000), seguita da vicino da Europa e Asia.
Una volta distribuito, il malware DirtyMoe apporta varie modifiche al sistema compromesso: disabiliterà Microsoft Defender Antivirus e Windows File Protection. Arresta inoltre il servizio Server Message Block (SMB) per impedire ad altri malware di infettare il sistema compromesso.
Successivamente, le risorse hardware del sistema infetto vengono continuamente raccolte per estrarre la criptovaluta. Proprio di recente, i ricercatori hanno anche notato che la rete DirtyMoe Malware è stata utilizzata anche per gli attacchi DDoS. Sebbene ciò non sia ancora avvenuto, è possibile che gli operatori del malware eseguano malware aggiuntivo sui sistemi compromessi.
L'operazione DirtyMoe Malware è ancora in corso e il tasso di infezione è aumentato notevolmente negli ultimi due mesi. Puoi proteggere la tua rete applicando gli aggiornamenti e le patch più recenti, nonché utilizzando un software antivirus affidabile.
