Phorpiex is een bekende malware die in ieder geval sindsdien actief is 2016, aanvankelijk bekend als een botnet dat het IRC-protocol gebruikt. Een paar jaar later, de infrastructuur van het botnet is gewijzigd in Tldr - een loader die wordt bestuurd via HTTP.
Het botnet is in verschillende campagnes gebruikt, Inclusief cryptojacking en een sextortion-operatie gedetecteerd in oktober 2019, die meer had uitgezonden dan 37 miljoen e-mails.
In augustus 2021, de exploitanten verklaarden dat ze failliet gingen, volgens een bericht op een ondergronds forum. Echter, een paar weken later, Phorpiex was terug met een nieuw IP-adres.
Volgens een Check Point-rapport, dit is wanneer "gelijktijdig", de C&C-servers begonnen een bot te verspreiden die nog nooit eerder was gezien.
Twizt-botnet: een nieuwe variant van Phorpiex
genaamd Twizt, de malware kan succesvol werken zonder actieve C&C, omdat het in peer-to-peer-modus kan werken. Met andere woorden, elk geïnfecteerd apparaat kan als server fungeren en opdrachten naar andere bots in de keten sturen.
“Omdat een heel groot aantal computers via NAT-routers met internet is verbonden en geen extern IP-adres heeft, de Twizt-bot herconfigureert thuisrouters die UPnP ondersteunen en stelt poorttoewijzing in om inkomende verbindingen te ontvangen,”Check Point toegevoegd.
In termen van zijn kwaadaardige functionaliteiten, de nieuwe Twizt-bot gebruikt zijn eigen binaire protocol via TCP of UDP met twee lagen RC4-codering. Het is ook in staat om de gegevensintegriteit te verifiëren via de RSA- en RC6-256-hashfunctie.
Volgens het verslag, Phorpiex heeft het hele jaar door miljoenen gebruikers wereldwijd tot slachtoffer gemaakt:
In onze telemetrie het hele jaar door, we zagen een bijna constant aantal Phorpiex-slachtoffers, die aanhield zelfs tijdens perioden van de C&Inactiviteit van C-servers. Het aantal begon de afgelopen tijd te stijgen 2 maanden. In 2021, Phorpiex-bots zijn gevonden in 96 landen. De meeste Phorpiex-slachtoffers bevinden zich in Ethiopië, Nigeria en India.
Het botnet is gebruikt in campagnes voor sextortion en cryptomining. Pogingen om geld te verdienen met crypto-clipping-aanvallen waren niet zo belangrijk, maar nu lijkt het erop dat de operators hun spel in deze richting opvoeren met de Twizt-versie.
Wat is cryptoclippen??
Kort gezegd, het is het type aanvallen dat gericht is op het stelen van cryptocurrency tijdens een transactie. Dit wordt gedaan door het originele portemonnee-adres dat is opgeslagen op het klembord van het slachtoffer te vervangen door het portemonnee-adres van de aanvaller.
“Het afsluiten van de commando- en controle-infrastructuur van het botnet en het arresteren van de auteurs zal degenen die al besmet zijn met Phorpiex niet beschermen.. Vanwege de aard van de blockchain kan het gestolen geld niet worden geretourneerd als we de privésleutels van de portefeuilles die door de malware worden gebruikt niet kennen,” Check Point gewaarschuwd.