Phorpiex è un noto malware che opera almeno da allora 2016, inizialmente noto come botnet che utilizza il protocollo IRC. Un paio di anni dopo, l'infrastruttura della botnet è cambiata in Tldr, un caricatore controllato tramite HTTP.
La botnet è stata utilizzata in varie campagne, Compreso cryptojacking e un'operazione di sextortion rilevato in ottobre 2019, che aveva inviato più di 37 milioni di email.
In agosto 2021, i suoi operatori hanno dichiarato che stavano cessando l'attività, secondo un post su un forum sotterraneo. Tuttavia, un paio di settimane più tardi, Phorpiex è tornato con un nuovo indirizzo IP.
Secondo un rapporto di Check Point, questo è quando “simultaneamente, C&I server C hanno iniziato a distribuire un bot mai visto prima".
Botnet Twizt: una nuova variante di Phorpiex
chiamato Twizt, il malware può funzionare correttamente senza C . attivo&C, in quanto può operare in modalità peer-to-peer. In altre parole, ogni dispositivo infetto può fungere da server e inviare comandi ad altri bot della catena.
"Poiché un numero davvero elevato di computer è connesso a Internet tramite router NAT e non dispone di un indirizzo IP esterno, il bot Twizt riconfigura i router domestici che supportano UPnP e imposta la mappatura delle porte per ricevere le connessioni in entrata,"Aggiunto Check Point.
In termini di funzionalità dannose, il nuovo bot Twizt utilizza il proprio protocollo binario su TCP o UDP con due livelli di crittografia RC4. È anche in grado di verificare l'integrità dei dati tramite RSA e la funzione di hash RC6-256.
Secondo il rapporto, Phorpiex ha colpito milioni di utenti in tutto il mondo durante tutto l'anno:
Nella nostra telemetria durante tutto l'anno, abbiamo visto un numero quasi costante di vittime di Phorpiex, che persisteva anche durante i periodi del C&Inattività dei server C. I numeri hanno iniziato ad aumentare negli ultimi 2 mesi. In 2021, I bot Phorpiex sono stati trovati in 96 paesi. La maggior parte delle vittime di Phorpiex si trova in Etiopia, Nigeria e India.
La botnet è stata utilizzata in campagne di sextortion e crypto mining. I tentativi di monetizzare gli attacchi di crypto-clipping non sono stati così significativi, ma ora sembra che i suoi operatori stiano alzando il tiro in questa direzione con la versione Twizt.
Che cos'è il cripto-clipping?
Poco detto, è il tipo di attacchi mirati a rubare criptovaluta durante una transazione. Questo viene fatto sostituendo l'indirizzo del portafoglio originale salvato negli appunti della vittima con l'indirizzo del portafoglio dell'aggressore.
"La chiusura dell'infrastruttura di comando e controllo della botnet e l'arresto dei suoi autori non proteggeranno coloro che sono già stati infettati da Phorpiex. A causa della natura della blockchain il denaro rubato non può essere restituito se non si conoscono le chiavi private dei wallet utilizzati dal malware,"Avviso Check Point.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: