Phorpiex er en velkendt malware, der i det mindste har fungeret siden 2016, oprindeligt kendt som et botnet, der bruger IRC-protokollen. Et par år senere, botnettets infrastruktur ændret til Tldr – en loader styret via HTTP.
Botnettet er blevet brugt i forskellige kampagner, Herunder cryptojacking og en sextortionsoperation opdaget i oktober 2019, der havde udsendt mere end 37 millioner e-mails.
I august 2021, dets operatører erklærede, at de gik konkurs, ifølge et indlæg på et undergrundsforum. Men, et par uger senere, Phorpiex var tilbage med en ny IP-adresse.
Ifølge en rapport fra Check Point, dette er når "samtidigt, C&C-servere begyndte at distribuere en bot, som aldrig havde set før."
Twizt Botnet: en ny variant af Phorpiex
Kaldes Twizt, malwaren kan fungere uden aktiv C&C, da den kan fungere i peer-to-peer-tilstand. Med andre ord, hver inficeret enhed kan fungere som en server og sende kommandoer til andre bots i kæden.
"Da et rigtig stort antal computere er forbundet til internettet gennem NAT-routere og ikke har en ekstern IP-adresse, Twizt-bot omkonfigurerer hjemmeroutere, der understøtter UPnP og opsætter portmapping til at modtage indgående forbindelser,”Check Point tilføjet.
Med hensyn til dens ondsindede funktioner, den nye Twizt-bot bruger sin egen binære protokol over TCP eller UDP med to lag RC4-kryptering. Det er også i stand til at verificere dataintegritet via RSA og RC6-256 hash-funktion.
Ifølge rapporten, Phorpiex har ramt millioner af brugere verden over i løbet af året:
I vores telemetri hele året, vi så et næsten konstant antal Phorpiex-ofre, som fortsatte selv i perioder af C&C-serveres inaktivitet. Tallene begyndte at stige i løbet af de sidste 2 måneder. I 2021, Phorpix-bots blev fundet i 96 lande. De fleste Phorpiex-ofre befinder sig i Etiopien, Nigeria og Indien.
Botnettet er blevet brugt i sextortion og kryptominekampagner. Forsøg på at tjene penge på kryptoklipningsangreb har ikke været så væsentlige, men nu ser det ud til, at dets operatører hæver deres spil i denne retning med Twizt-versionen.
Hvad er kryptoklipning?
Kort sagt, det er den type angreb, der er rettet mod at stjæle kryptovaluta under en transaktion. Dette gøres ved at erstatte den originale tegnebogsadresse, der er gemt i offerets udklipsholder, med angriberens pungadresse.
"At lukke botnettets kommando- og kontrolinfrastruktur og arrestere dets forfattere vil ikke beskytte dem, der allerede er inficeret med Phorpiex. På grund af typen af blockchain kan de stjålne penge ikke returneres, hvis vi ikke kender de private nøgler til de punge, der bruges af malwaren,” advarede Check Point.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: