По информации компании Avast, в первой половине 2021 года ботнет DirtyMoe (он же PurpleFox, Perkiler и NuggetPhantom), еще в конце прошлого года насчитывавший порядка 10 000 зараженных машин, резко увеличился в размерах, и теперь речь идет о 100 000 пострадавших систем.
DirtyMoe активен с 2017 года и все это время его основной целью оставалось заражение Windows-систем с целью скрытого майнинга криптовалюты, хотя малварь также обладает функцией запуска DDoS-атак, появившейся еще 2018 году.
Обычно вредонос распространяется при помощи спама, который заманивает пользователей на вредоносные сайты, где размещается набор эксплоитов PurpleFox (
1, 2, 3, 4). Он эксплуатирует различные уязвимости браузера (обычно Internet Explorer) для установки Windows-руткита, что предоставляет малвари полный контроль над зараженным хостом, который та использует для майнинга.
Avast сообщает, что с 2017 по 2020 год в ботнет DirtyMoe входили от нескольких сотен до нескольких тысяч зараженных систем, но недавно ситуация резко изменилась. В конце 2020 года операторы DirtyMoe оснастили свою малварь модулем червя, который позволяет ей самостоятельно распространяться через интернет на другие уязвимые машины. Этот модуль сканирует сеть и выполняет автоматически брутфорс-атаки на удаленные компьютеры, которые оставили свой порт SMB открытым.
Этот модуль позволил вредоносу резко увеличить количество заражений, и только в текущем году было заражено более 100 000 систем. Причем эта статистика основана на данных Avast, то есть собрана только с тех машин, где установлен антивирус компании. Фактический размер ботнета DirtyMoe, скорее всего, намного больше.
