Security Affairsは6月22日(米国時間)、「DirtyMoe botnet infected 100,000+ Windows systems in H1 2021Security Affairs」において、ボットネット「DirtyMoe」による脅威が2021年になって急速に増加していると伝えた。DirtyMoeはWindowsを対象としたボットネットで、PurpleFoxやPerkile、NuggetPhantomなどの別名でも知られている。主に仮想通貨の不正なマイニングを目的として配布されているが、DDoS攻撃に利用できる機能も保持している。
Security Affairsは、Avastの研究者による次のレポートについて伝えたもの。
このレポートでは、DirtyMoeへの感染が発覚したWindowsマシンの台数が、2020年は1万台に満たなかったのに対して、2021年は上半期だけで10万台を突破していると伝えている。この数字はあくまでもAvastのセキュリティ対策ソリューションによって検出された被害マシンの数に基づいたものなので、実際の被害件数はこれよりもはるかに多い可能性があるという。
最も多く被害を受けている国はロシアで、ウクライナ、ベトナム、ブラジルがそれに続いている。一方で、攻撃に関与するC&Cサーバのほとんどは中国にあることも判明したという。このことから、DirtyMoeの配布元は、中国を拠点としており、世界的に活動を展開しているよく組織されたグループと推測されている。
DirtyMoeは通常、Internet Explorerの脆弱性を悪用してWindowsシステムにインストールされることが知られている。その後、マルウェアが対象のホストを完全に制御し、C&Cサーバと通信して暗号マイニングなどに悪用する。Avastのレポートによると、2020年の終わりにかけて、DirtyMoeにインターネット経由で他のWindowsシステムにマルウェアの感染を広げるワームモジュールの機能が追加されたという。これが、2021年に入って被害が拡大している主な要因とされている。
いずれにしても、DirtyMoeやPurpleFoxは依然として活発なマルウェアであり、機能も強力になっていることから、引き続き警戒が必要とのことだ。