Phorpiex es un malware conocido que ha estado operando al menos desde 2016, inicialmente conocido como botnet usando el protocolo IRC. Un par de años después, La infraestructura de la botnet cambió a Tldr, un cargador controlado a través de HTTP..
La botnet se ha utilizado en varias campañas, Incluido cryptojacking y una operación de sextorsión detectado en octubre 2019, que había enviado más de 37 millones de correos electrónicos.
En agosto 2021, sus operadores declararon que iban a cerrar, según una publicación en un foro clandestino. Sin embargo, un par de semanas más tarde, Phorpiex regresó con una nueva dirección IP.
Según un informe de Check Point, esto es cuando "simultáneamente, la C&Los servidores C comenzaron a distribuir un bot que nunca antes había visto ".
Botnet Twizt: una nueva variante de Phorpiex
Llamado Twizt, el malware puede funcionar con éxito sin C activo&C, ya que puede operar en modo peer-to-peer. En otras palabras, cada dispositivo infectado puede actuar como servidor y enviar comandos a otros bots en la cadena.
"Como una gran cantidad de computadoras están conectadas a Internet a través de enrutadores NAT y no tienen una dirección IP externa, el bot Twizt reconfigura los enrutadores domésticos que admiten UPnP y configura el mapeo de puertos para recibir conexiones entrantes,"Check Point agregado.
En cuanto a sus funcionalidades maliciosas, el nuevo bot Twizt utiliza su propio protocolo binario sobre TCP o UDP con dos capas de cifrado RC4. También es capaz de verificar la integridad de los datos a través de la función hash RSA y RC6-256.
De acuerdo a el informe, Phorpiex ha victimizado a millones de usuarios en todo el mundo durante todo el año.:
En nuestra telemetría durante todo el año, vimos un número casi constante de víctimas de Phorpiex, que persistió incluso durante los períodos de la C&Inactividad de los servidores C. Los números comenzaron a aumentar durante el último 2 meses. En 2021, Se encontraron bots de Phorpiex en 96 países. La mayoría de las víctimas de Phorpiex se encuentran en Etiopía, Nigeria e India.
La botnet se ha utilizado en campañas de sextorsión y cripto minería.. Los intentos de monetizar los ataques de recorte de cifrado no han sido tan significativos, pero ahora parece que sus operadores están mejorando su juego en esta dirección con la versión Twizt.
¿Qué es el recorte criptográfico??
Poco dicho, es el tipo de ataques dirigidos a robar criptomonedas durante una transacción. Esto se hace reemplazando la dirección de la billetera original guardada en el portapapeles de la víctima con la dirección de la billetera del atacante..
“Cerrar la infraestructura de comando y control de la botnet y arrestar a sus autores no protegerá a aquellos que ya están infectados con Phorpiex. Debido a la naturaleza de la cadena de bloques, el dinero robado no se puede devolver si no conocemos las claves privadas de las carteras utilizadas por el malware.,"Advirtió Check Point.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: