Phorpiex est un malware bien connu qui fonctionne au moins depuis 2016, initialement connu sous le nom de botnet utilisant le protocole IRC. Quelques années plus tard, l'infrastructure du botnet a changé en Tldr - un chargeur contrôlé via HTTP.
Le botnet a été utilisé dans diverses campagnes, Y compris cryptojacking et une opération de sextorsion détecté en octobre 2019, qui avait envoyé plus de 37 millions d'e-mails.
En août 2021, ses opérateurs ont déclaré qu'ils faisaient faillite, selon un post sur un forum underground. Cependant, quelques semaines plus tard, Phorpiex était de retour avec une nouvelle adresse IP.
Selon un rapport de Check Point, c'est quand « simultanément, C&Les serveurs C ont commencé à distribuer un bot qui n'avait jamais été vu auparavant. »
Botnet Twizt: une nouvelle variante de Phorpiex
Appelé Twizt, le malware peut fonctionner avec succès sans C actif&C, car il peut fonctionner en mode peer-to-peer. En d'autres termes, chaque appareil infecté peut agir comme un serveur et envoyer des commandes aux autres robots de la chaîne.
"Comme un très grand nombre d'ordinateurs sont connectés à Internet via des routeurs NAT et n'ont pas d'adresse IP externe, le bot Twizt reconfigure les routeurs domestiques qui prennent en charge UPnP et configure le mappage des ports pour recevoir les connexions entrantes,"Check Point ajouté.
En termes de ses fonctionnalités malveillantes, le nouveau bot Twizt utilise son propre protocole binaire sur TCP ou UDP avec deux couches de cryptage RC4. Il est également capable de vérifier l'intégrité des données via la fonction de hachage RSA et RC6-256.
Selon le rapport, Phorpiex a victimisé des millions d'utilisateurs dans le monde tout au long de l'année:
Dans notre télémétrie tout au long de l'année, nous avons vu un nombre presque constant de victimes de Phorpiex, qui a persisté même pendant les périodes de la C&Inactivité des serveurs C. Les chiffres ont commencé à augmenter au cours de la dernière 2 mois. Dans 2021, Des robots Phorpiex ont été trouvés dans 96 pays. La plupart des victimes de Phorpiex se trouvent en Éthiopie, Nigéria et Inde.
Le botnet a été utilisé dans des campagnes de sextorsion et de crypto-mining. Les tentatives de monétisation des attaques de crypto-écrêtage n'ont pas été si importantes, mais maintenant il semble que ses opérateurs augmentent leur jeu dans cette direction avec la version Twizt.
Qu'est-ce que le crypto-écrêtage?
Peu dit, c'est le type d'attaques visant à voler de la crypto-monnaie lors d'une transaction. Cela se fait en remplaçant l'adresse du portefeuille d'origine enregistrée dans le presse-papiers de la victime par l'adresse du portefeuille de l'attaquant.
« La fermeture de l'infrastructure de commandement et de contrôle du botnet et l'arrestation de ses auteurs ne protégeront pas ceux qui sont déjà infectés par Phorpiex. En raison de la nature de la blockchain, l'argent volé ne peut pas être restitué si nous ne connaissons pas les clés privées des portefeuilles utilisés par le malware,” Check Point prévenu.