Phorpiexは、少なくともそれ以来運用されている有名なマルウェアです。 2016, 当初はIRCプロトコルを使用したボットネットとして知られていました. 数年後, ボットネットのインフラストラクチャがTldrに変更されました–HTTPを介して制御されるローダー.
ボットネットはさまざまなキャンペーンで使用されています, 含む クリプトジャッキング と セクストレーション操作 10月に検出 2019, それ以上のものを送りました 37 百万通のメール.
8月に 2021, そのオペレーターは彼らが廃業するだろうと述べました, 地下フォーラムの投稿によると. でも, 数週間後, Phorpiexが新しいIPアドレスで戻ってきました.
チェックポイントレポートによると, これは「同時に, C&Cサーバーは、これまでに見たことのないボットの配布を開始しました。」
Twiztボットネット: Phorpiexの新しいバリアント
Twiztと呼ばれる, マルウェアはアクティブなCがなくても正常に動作できます&C, ピアツーピアモードで動作できるため. 言い換えると, 感染した各デバイスはサーバーとして機能し、チェーン内の他のボットにコマンドを送信できます.
「非常に多くのコンピューターがNATルーターを介してインターネットに接続されており、外部IPアドレスを持っていないため, Twiztボットは、UPnPをサポートするホームルーターを再構成し、着信接続を受信するようにポートマッピングを設定します,」チェックポイントが追加されました.
その悪意のある機能の観点から, 新しいTwiztボットは、2層のRC4暗号化を備えたTCPまたはUDPを介した独自のバイナリプロトコルを使用します. また、RSAおよびRC6-256ハッシュ関数を介してデータの整合性を検証することもできます.
によると レポート, Phorpiexは、年間を通じて世界中の何百万ものユーザーを犠牲にしてきました:
年間を通じてテレメトリで, ほぼ一定数のPhorpiexの犠牲者を見ました, これはCの期間中も持続しました&Cサーバーの非アクティブ. 数は最後に増加し始めました 2 月. の 2021, Phorpiexボットはで発見されました 96 国. ほとんどのPhorpiexの犠牲者はエチオピアにいます, ナイジェリアとインド.
ボットネットは、セクストレーションおよび暗号マイニングキャンペーンで使用されています. 暗号クリッピング攻撃を現金化する試みはそれほど重要ではありませんでした, しかし今では、そのオペレーターはTwiztバージョンでこの方向にゲームを強化しているようです.
暗号クリッピングとは何ですか?
すぐに言った, これは、トランザクション中に暗号通貨を盗むことを目的としたタイプの攻撃です. これは、被害者のクリップボードに保存されている元のウォレットアドレスを攻撃者のウォレットアドレスに置き換えることによって行われます。.
「ボットネットのコマンドアンドコントロールインフラストラクチャをシャットダウンし、その作成者を逮捕しても、すでにPhorpiexに感染している人は保護されません。. ブロックチェーンの性質上、マルウェアが使用するウォレットの秘密鍵がわからない場合、盗まれたお金を返すことはできません。,」チェック・ポイントが警告.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: