Phorpiex è un noto malware che opera almeno da allora 2016, inizialmente noto come botnet che utilizza il protocollo IRC. Un paio di anni dopo, l'infrastruttura della botnet è cambiata in Tldr, un caricatore controllato tramite HTTP.
La botnet è stata utilizzata in varie campagne, Compreso cryptojacking e un'operazione di sextortion rilevato in ottobre 2019, che aveva inviato più di 37 milioni di email.
In agosto 2021, i suoi operatori hanno dichiarato che stavano cessando l'attività, secondo un post su un forum sotterraneo. Tuttavia, un paio di settimane più tardi, Phorpiex è tornato con un nuovo indirizzo IP.
Secondo un rapporto di Check Point, questo è quando “simultaneamente, C&I server C hanno iniziato a distribuire un bot mai visto prima".
Botnet Twizt: una nuova variante di Phorpiex
chiamato Twizt, il malware può funzionare correttamente senza C . attivo&C, in quanto può operare in modalità peer-to-peer. In altre parole, ogni dispositivo infetto può fungere da server e inviare comandi ad altri bot della catena.
"Poiché un numero davvero elevato di computer è connesso a Internet tramite router NAT e non dispone di un indirizzo IP esterno, il bot Twizt riconfigura i router domestici che supportano UPnP e imposta la mappatura delle porte per ricevere le connessioni in entrata,"Aggiunto Check Point.
In termini di funzionalità dannose, il nuovo bot Twizt utilizza il proprio protocollo binario su TCP o UDP con due livelli di crittografia RC4. È anche in grado di verificare l'integrità dei dati tramite RSA e la funzione di hash RC6-256.
Secondo il rapporto, Phorpiex ha colpito milioni di utenti in tutto il mondo durante tutto l'anno:
Nella nostra telemetria durante tutto l'anno, abbiamo visto un numero quasi costante di vittime di Phorpiex, che persisteva anche durante i periodi del C&Inattività dei server C. I numeri hanno iniziato ad aumentare negli ultimi 2 mesi. In 2021, I bot Phorpiex sono stati trovati in 96 paesi. La maggior parte delle vittime di Phorpiex si trova in Etiopia, Nigeria e India.
La botnet è stata utilizzata in campagne di sextortion e crypto mining. I tentativi di monetizzare gli attacchi di crypto-clipping non sono stati così significativi, ma ora sembra che i suoi operatori stiano alzando il tiro in questa direzione con la versione Twizt.
Che cos'è il cripto-clipping?
Poco detto, è il tipo di attacchi mirati a rubare criptovaluta durante una transazione. Questo viene fatto sostituendo l'indirizzo del portafoglio originale salvato negli appunti della vittima con l'indirizzo del portafoglio dell'aggressore.
"La chiusura dell'infrastruttura di comando e controllo della botnet e l'arresto dei suoi autori non proteggeranno coloro che sono già stati infettati da Phorpiex. A causa della natura della blockchain il denaro rubato non può essere restituito se non si conoscono le chiavi private dei wallet utilizzati dal malware,"Avviso Check Point.