Считавшийся незначительным ботнет DirtyMoe заразил свыше 100 тыс. Windows-систем
Количество заражений вредоносным ПО DirtyMoe стремительно возросло после добавления в него модуля для червеобразного распространения.
Предположительно управляемый из Китая ботнет DirtyMoe стремительно разросся за последний год. Если в 2020 году он состоял из 10 тыс. зараженных систем, то в первой половине нынешнего года в него входило 100 тыс. систем.
Ботнет DirtyMoe, также известный как PurpleFox, Perkiler и NuggetPhantom, существует с 2017 года. Его главным предназначением было (и есть) заражение Windows-систем с целью майнинга криптовалюты без ведома жертв, хотя в 2018 году в нем также была обнаружена функция для осуществления DDoS-атак.
Почти все это время ботнет представлял собой весьма скромный проект. Его создатели в основном полагались на небольшие спам-кампании для того, чтобы заманивать жертв на сайт с набором эксплоитов PurpleFox. В ходе этих атак злоумышленники эксплуатировали уязвимости в браузерах, зачастую в Internet Explorer, для установки руткита на уязвимые Windows-системы, который обеспечивал вредоносному ПО полный контроль над ними.
Руткит, также носящий названия DirtyMoe, PurpleFox, Perkiler и NuggetPhantom, известен ИБ-сообществу уже давно, но всегда рассматривался как интересная, но совсем незначительная угроза .
По данным компании Avast, ботнет DirtyMoe обычно заражал от нескольких сотен до нескольких тысяч систем ежегодно на протяжении большей части своего существования с 2017 по 2020 год. Однако все радикально изменилось в 2021 году, когда операторы DirtyMoe усовершенствовали свой проект, добавив в него новый модуль для червеобразного распространения на другие Windows-системы через интернет. Этот модуль сканировал интернет и осуществлял атаки методом перебора паролей на удаленные Windows-системы с открытым SMB-портом.
После внедрения нового модуля резко увеличилось количество заражений – только в нынешнем году было заражено более 100 тыс. систем. Однако эти цифры базируются только на данных, видимых компании Avast, то есть, полученных с компьютеров, на которых установлено ее антивирусные решения. Поэтому истинный размер ботнета DirtyMoe намного больше.