Phorpiex é um malware conhecido que está operando pelo menos desde 2016, inicialmente conhecido como botnet usando o protocolo IRC. Alguns anos depois, a infraestrutura do botnet mudou para Tldr - um carregador controlado via HTTP.
O botnet tem sido usado em várias campanhas, Incluindo cryptojacking e uma operação de sextorção detectado em outubro 2019, que tinha enviado mais do que 37 milhões de emails.
em agosto 2021, seus operadores declararam que estavam fechando as portas, de acordo com uma postagem em um fórum clandestino. Contudo, algumas semanas depois, Phorpiex estava de volta com um novo endereço IP.
De acordo com um relatório da Check Point, isto é quando “simultaneamente, o C&Os servidores C começaram a distribuir um bot que nunca tinha visto antes. ”
Twizt Botnet: uma nova variante de Phorpiex
Twizt Chamado, o malware pode operar com sucesso sem C ativo&C, pois pode operar no modo ponto a ponto. Em outras palavras, cada dispositivo infectado pode atuar como um servidor e enviar comandos para outros bots na cadeia.
“Como um grande número de computadores estão conectados à Internet por meio de roteadores NAT e não têm um endereço IP externo, o bot Twizt reconfigura roteadores domésticos que suportam UPnP e configura o mapeamento de portas para receber conexões,”Check Point adicionado.
Em termos de suas funcionalidades maliciosas, o novo bot Twizt usa seu próprio protocolo binário sobre TCP ou UDP com duas camadas de criptografia RC4. Também é capaz de verificar a integridade dos dados por meio da função de hash RSA e RC6-256.
De acordo com o relatório, Phorpiex vitimou milhões de usuários em todo o mundo ao longo do ano:
Em nossa telemetria ao longo do ano, vimos um número quase constante de vítimas de Phorpiex, que persistiu mesmo durante os períodos do C&Inatividade dos servidores C. Os números começaram a aumentar na última 2 meses. No 2021, Os bots Phorpiex foram encontrados em 96 países. A maioria das vítimas de Phorpiex estão localizadas na Etiópia, Nigéria e Índia.
O botnet tem sido usado em campanhas de sextorção e mineração de criptografia. As tentativas de monetizar ataques de criptografia não foram tão significativas, mas agora parece que seus operadores estão melhorando seu jogo nessa direção com a versão Twizt.
O que é criptografia?
disse brevemente, é o tipo de ataque que visa roubar criptomoedas durante uma transação. Isso é feito substituindo o endereço da carteira original salvo na área de transferência da vítima pelo endereço da carteira do atacante.
“Desligar a infraestrutura de comando e controle do botnet e prender seus autores não protegerá aqueles que já estão infectados com Phorpiex. Devido à natureza do blockchain, o dinheiro roubado não pode ser devolvido se não soubermos as chaves privadas das carteiras usadas pelo malware,”Check Point avisado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: