# DirtyMoe > Tipo: **botnet** · S0502 · [MITRE ATT&CK](https://attack.mitre.org/software/S0502) ## Descrição [[s0502-dirtymoe|DirtyMoe]] (também conhecido como NuggetPhantom e associado ao loader PurpleFox) é um malware modular de alta sofisticação focado em mineração de criptomoedas e distribuição de ataques DDoS. Documentado extensivamente pela Avast em 2021, o [[s0502-dirtymoe|DirtyMoe]] é notável por sua complexidade técnica desproporcional ao objetivo aparente: utiliza múltiplos drivers de kernel para proteção contra remoção, implementa rootkit para esconder processos e arquivos do sistema, e usa técnicas de anti-debugging e anti-VM elaboradas que o tornam especialmente resistente a análise e remoção. O [[s0502-dirtymoe|DirtyMoe]] é entregue pelo loader PurpleFox, que se propaga via EternalBlue (MS17-010) - a vulnerabilidade explorada pelo [[wannacry|WannaCry]] - e por outros exploits e credenciais comprometidas. Uma vez instalado, o malware registra serviços do Windows e modifica o registro para garantir persistência robusta. Os módulos de mineração utilizam os recursos computacionais da vítima para mineração de Monero, enquanto módulos DDoS permitem ao operador usar o dispositivo comprometido em botnets de ataques distribuídos. A comunicação C2 é protegida via protocolo proprietário sobre HTTP. A escala do [[s0502-dirtymoe|DirtyMoe]] é significativa: a Avast detectou centenas de milhares de sistemas comprometidos globalmente, com concentração em países como Rússia, Ucrânia, Brasil e Índia. A combinação de persistência via rootkit, propagação via EternalBlue em sistemas não atualizados e objetivos de monetização via mineração tornam o DirtyMoe uma ameaça persistente de alto impacto operacional - sistemas comprometidos sofrem degradação de performance significativa além do risco de exposição da infraestrutura. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] ## Detecção - Verificar patches de segurança MS17-010 (EternalBlue) - vetor primário de propagação ([[t1210-exploitation-of-remote-services|T1210]]) - Monitorar criação de serviços com drivers de kernel em caminhos incomuns ([[t1543-003-windows-service|T1543.003]]) - Detectar alto consumo de CPU por processos de sistema em horários não convencionais - indicador de mineração ([[t1496-001-compute-hijacking|T1496.001]]) - Alertar sobre modificações em chaves de registro críticas do sistema ([[t1112-modify-registry|T1112]]) - Usar ferramentas de análise de rootkit para detectar processos e serviços ocultos ## Relevância LATAM/Brasil O [[s0502-dirtymoe|DirtyMoe]] tem presença documentada no Brasil, com o país citado entre os mais afetados globalmente. Sistemas Windows não atualizados - especialmente com MS17-010 não corrigido - são comuns em PMEs e organizações de menor porte no Brasil, criando um pool de alvos vulneráveis para o PurpleFox/DirtyMoe. Provedores de internet e empresas com servidores Windows expostos são especialmente vulneráveis à propagação via EternalBlue. O uso de máquinas brasileiras comprometidas em botnets DDoS pode tornar o país em origem de ataques a outros alvos globais, gerando implicações de reputação e legais. ## Referências - [MITRE ATT&CK - S0502](https://attack.mitre.org/software/S0502) - [Avast - DirtyMoe Analysis](https://decoded.avast.io/martinhron/meris-and-trickbot-standing-on-the-shoulders-of-giants/)