Ранее отключенный ботнет Phorpiex возродился с новой одноранговой инфраструктурой управления и контроля, что затрудняет нарушение работы вредоносного ПО.
Ботнет впервые был запущен в 2016 году и за годы быстро собрал огромную армию из более чем 1 миллиона устройств.
Вредоносная программа приносит доход своим разработчикам, заменяя адреса криптовалюты, скопированные в буфер обмена Windows, адресами, находящимися под их контролем, или рассылая спам-сообщения электронной почты, чтобы напугать людей и заставить их платить по требованию вымогательства.
Однако после более чем пяти лет разработки операторы Phorpiex закрыли свою инфраструктуру и попытались продать исходный код ботнета на хакерском форуме.
Хотя неизвестно, могут ли злоумышленники продавать свое вредоносное ПО, исследователи из Check Point обнаружили, что инфраструктура снова заработала в сентябре, менее чем через две недели после их объявления о продаже.
На этот раз, однако, командные серверы распространили новый вариант ботнета, который включал в себя некоторые новые уловки, которые затрудняли поиск операторов или устранение инфраструктуры.
Представляем Twizt
Когда Phorpiex перезапустился в сентябре, Check Point увидела, что он распространяет новый вариант вредоносного ПО под названием «Twizt», который позволяет ботнету работать без централизованных серверов управления и контроля.Вместо этого новый вариант Twizt Phorpiex добавил одноранговую систему управления и контроля, которая позволяет различным зараженным устройствам передавать команды друг другу, если статические серверы управления и контроля были отключены.
«Одновременно с этим C&C серверы начали распространять бота, которого никогда раньше не видели. Он назывался Twizt и позволяет ботнету успешно работать без активных C&C серверов, поскольку он может работать в одноранговом режиме», - пояснил он. новый отчет Check Point.
«Это означает, что каждый из зараженных компьютеров может действовать как сервер и отправлять команды другим ботам в цепочке».
Эта новая инфраструктура P2P также позволяет операторам изменять IP-адреса основных серверов C2 по мере необходимости, оставаясь при этом скрытыми внутри роя зараженных компьютеров Windows.
От сексторции до крипто-клиппирования
Ранее Phorpiex был известен тем, что проводил крупномасштабные спам-кампании с сексторцией , позволяя злоумышленникам рассылать более 30 000 сексторсионных писем в час.Операторы зарабатывали около 100 тысяч долларов в месяц, обманывая людей, отправляя им криптовалюту, и делали это относительно легко.
Электронное письмо Phorpiex sextortion
Ботнет также использует крипто-вырезку или угонщик буфера обмена, который заменяет адреса кошельков с криптовалютой, скопированные в буфер обмена Windows, на адреса, контролируемые злоумышленниками. Итак, теперь, когда человек пытается отправить криптовалюту на другой адрес, вместо этого она отправляется тем, кто находится под контролем злоумышленника.
Поскольку адреса криптовалюты трудно запомнить, люди, скорее всего, не поймут, что их криптовалюта была украдена, пока не заметят, что она была отправлена по неправильному адресу.
Благодаря способности ботнета работать без C2 или какого-либо централизованного управления, даже если его операторы арестованы, а инфраструктура отключена, зараженные машины по-прежнему будут направлять транзакции в неправильные кошельки.
CheckPoint определила 60 уникальных кошельков Биткойн и 37 уникальных кошельков Ethereum, используемых для этой цели, и сообщила, что Dogecoin, Dash, Monero и Zilliqa также являются мишенями.
Что касается кошельков, которые поддерживает клиппер последней версии Phorpiex, это:
Bleeping Computer
Последнее редактирование:
