Phorpiex ist eine bekannte Malware, die mindestens seit 2016, ursprünglich als Botnet bekannt, das das IRC-Protokoll verwendet. Ein paar Jahre später, die Infrastruktur des Botnetzes wurde auf Tldr umgestellt – ein Loader, der über HTTP gesteuert wird.
Das Botnet wurde in verschiedenen Kampagnen eingesetzt, Inklusive cryptojacking und eine Sextortion-Operation im Oktober entdeckt 2019, das hatte mehr gesendet als 37 Millionen E-Mails.
Im August 2021, seine Betreiber gaben an, dass sie das Geschäft aufgeben würden, laut einem Beitrag in einem Untergrundforum. Jedoch, später ein paar Wochen, Phorpiex war zurück mit einer neuen IP-Adresse.
Laut einem Check Point-Bericht, Dies ist, wenn "gleichzeitig", die C&C-Server begannen damit, einen Bot zu verteilen, den es noch nie zuvor gegeben hatte.“
Twizt Botnet: eine neue Variante von Phorpiex
Genannt Twizt, die Malware kann ohne aktives C erfolgreich funktionieren&C, da es im Peer-to-Peer-Modus betrieben werden kann. Mit anderen Worten, Jedes infizierte Gerät kann als Server fungieren und Befehle an andere Bots in der Kette senden.
„Da sehr viele Computer über NAT-Router mit dem Internet verbunden sind und keine externe IP-Adresse haben, der Twizt-Bot rekonfiguriert Heimrouter, die UPnP unterstützen, und richtet die Portzuordnung ein, um eingehende Verbindungen zu empfangen,Check Point hinzugefügt.
In Bezug auf seine bösartigen Funktionen, der neue Twizt-Bot verwendet sein eigenes binäres Protokoll über TCP oder UDP mit zwei Schichten RC4-Verschlüsselung. Es ist auch in der Lage, die Datenintegrität über die RSA- und RC6-256-Hash-Funktion zu überprüfen.
Nach der Bericht, Phorpiex hat das ganze Jahr über Millionen von Benutzern weltweit zum Opfer gefallen:
In unserer Telemetrie das ganze Jahr über, wir sahen eine fast konstante Anzahl von Phorpiex-Opfern, die auch während der C . andauerte&Inaktivität der C-Server. Die Zahlen begannen in den letzten Jahren zu steigen 2 Monate. In 2021, Phorpiex-Bots wurden gefunden in 96 Ländern. Die meisten Phorpiex-Opfer befinden sich in Äthiopien, Nigeria und Indien.
Das Botnet wurde in Sextortion- und Krypto-Mining-Kampagnen verwendet. Versuche, Krypto-Clipping-Angriffe zu monetarisieren, waren nicht so bedeutend, aber jetzt scheint es, dass seine Betreiber mit der Twizt-Version ihr Spiel in diese Richtung verbessern.
Was ist Krypto-Clipping??
Kurz gesagt, Es ist die Art von Angriffen, die darauf abzielen, Kryptowährung während einer Transaktion zu stehlen. Dies geschieht, indem die ursprüngliche Wallet-Adresse, die in der Zwischenablage des Opfers gespeichert ist, durch die Wallet-Adresse des Angreifers ersetzt wird.
„Das Herunterfahren der Kommando- und Kontrollinfrastruktur des Botnetzes und die Verhaftung seiner Autoren wird diejenigen nicht schützen, die bereits mit Phorpiex infiziert sind.“. Aufgrund der Beschaffenheit der Blockchain kann das gestohlene Geld nicht zurückgegeben werden, wenn wir die privaten Schlüssel der von der Malware verwendeten Wallets nicht kennen,„Check Point warnt“.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: