Ботнет Phorpiex возвращается с новыми трюками, которые затрудняют нарушение работы

6
Неисправленная ошибка DNS затрагивает миллионы маршрутизаторов и IoT-устройств

Ранее отключенный ботнет Phorpiex возродился с новой одноранговой инфраструктурой управления и контроля, что затрудняет нарушение работы вредоносного ПО.

Ботнет впервые был запущен в 2016 году и за годы быстро собрал огромную армию из более чем 1 миллиона устройств.

Вредоносная программа приносит доход своим разработчикам, заменяя адреса криптовалюты, скопированные в буфер обмена Windows, адресами, находящимися под их контролем, или рассылая спам-сообщения электронной почты, чтобы напугать людей и заставить их платить по требованию вымогательства.

Однако после более чем пяти лет разработки операторы Phorpiex закрыли свою инфраструктуру и попытались продать исходный код ботнета на хакерском форуме.

Хотя неизвестно, могут ли злоумышленники продавать свое вредоносное ПО, исследователи из Check Point обнаружили, что инфраструктура снова заработала в сентябре, менее чем через две недели после их объявления о продаже.

На этот раз, однако, командные серверы распространили новый вариант ботнета, который включал в себя некоторые новые уловки, которые затрудняли поиск операторов или устранение инфраструктуры.

Представляем Twizt

Когда Phorpiex перезапустился в сентябре, Check Point увидела, что он распространяет новый вариант вредоносного ПО под названием «Twizt», который позволяет ботнету работать без централизованных серверов управления и контроля.  

Вместо этого новый вариант Twizt Phorpiex добавил одноранговую систему управления и контроля, которая позволяет различным зараженным устройствам передавать команды друг другу, если статические серверы управления и контроля были отключены.

«Одновременно с этим C&C серверы начали распространять бота, которого никогда раньше не видели. Он назывался Twizt и позволяет ботнету успешно работать без активных C&C серверов, поскольку он может работать в одноранговом режиме», — пояснил он. новый отчет Check Point.

«Это означает, что каждый из зараженных компьютеров может действовать как сервер и отправлять команды другим ботам в цепочке».

Эта новая инфраструктура P2P также позволяет операторам изменять IP-адреса основных серверов C2 по мере необходимости, оставаясь при этом скрытыми внутри роя зараженных компьютеров Windows.

Новые функции, включенные в вариант Twizt, включают:

  • Одноранговый режим работы (без C2).
  • Система проверки целостности данных.
  • Пользовательский двоичный протокол (TCP или UDP) с двумя уровнями шифрования RC4.

Twizt также может загружать дополнительные полезные данные через список жестко заданных базовых URL-адресов и путей или после получения соответствующей команды от сервера C2.

От сексторции до крипто-клиппирования

Ранее Phorpiex был известен тем, что проводил  крупномасштабные спам-кампании с сексторцией, позволяя злоумышленникам рассылать более 30 000 сексторсионных писем в час.

Операторы зарабатывали около 100 тысяч долларов в месяц, обманывая людей, отправляя им криптовалюту, и делали это относительно легко.

Ботнет также использует крипто-вырезку или угонщик буфера обмена, который заменяет адреса кошельков с криптовалютой, скопированные в буфер обмена Windows, на адреса, контролируемые злоумышленниками. Итак, теперь, когда человек пытается отправить криптовалюту на другой адрес, вместо этого она отправляется тем, кто находится под контролем злоумышленника.

Поскольку адреса криптовалюты трудно запомнить, люди, скорее всего, не поймут, что их криптовалюта была украдена, пока не заметят, что она была отправлена ​​по неправильному адресу.

Благодаря способности ботнета работать без C2 или какого-либо централизованного управления, даже если его операторы арестованы, а инфраструктура отключена, зараженные машины по-прежнему будут направлять транзакции в неправильные кошельки.

CheckPoint определила 60 уникальных кошельков Биткойн и 37 уникальных кошельков Ethereum, используемых для этой цели, и сообщила, что Dogecoin, Dash, Monero и Zilliqa также являются мишенями.

Что касается кошельков, которые поддерживает клиппер последней версии Phorpiex, это:

LISK, POLKADOT, BITCOIN, WAVES, DASH, DOGECOIN, ETHEREUM, LITECOIN, RIPPLE, BITTORRENT, ZCASH, TEZOS, ICON, QTUM, RAVENCOIN, NEM, NEO, SMARTCASH, ZILLIQO, ZCASHER, ЧАСТНАЯ КАША, YCO CARDANO, GROESTLCOIN, STELLAR, BITCOIN GOLD, BAND PROTOCOL, ИДЕАЛЬНЫЕ ДЕНЬГИ в долларах США, ИДЕАЛЬНЫЕ ДЕНЬГИ ЕВРО, ИДЕАЛЬНЫЕ ДЕНЬГИ BTC.

За последние двенадцать месяцев Phorpiex перехватил 969 транзакций, используя свой компонент крипто-отсечения, похитив 3,64 биткойна (172 300 долларов США), 55,87 эфира (216 000 долларов США) и токены ERC20 на сумму 55 000 долларов США.

Защитите свои активы

Поскольку ботнет Phorpiex развивает свой код для использования новых функций однорангового управления и контроля, это показывает, что вредоносная программа все еще находится в активной разработке.

«Появление таких функций говорит о том, что ботнет может стать еще более стабильным и, следовательно, более опасным», — предупреждает Check Point.

Чтобы защитить себя от таких угроз, как Phorpiex, Check Point предлагает следующие советы:

  • При выполнении транзакций с криптовалютой обязательно дважды проверьте, что вставленный адрес кошелька действительно правильный.
  • Выполнение небольшой тестовой транзакции перед отправкой большой суммы также является разумной мерой предосторожности, чтобы избежать больших потерь.
  • Обновите операционные системы и установленные приложения, чтобы исправить уязвимости.
  • Не нажимайте по ошибке на рекламу при поиске кошельков и инструментов для криптовалюты, так как эти объявления обычно приводят к мошенничеству.

Наконец, транзакции с криптовалютой не могут быть отменены, и восстановление потерянных сумм может произойти только в том случае, если правоохранительные органы получат доступ к кошельку злоумышленника.

Хотя в прошлом правоохранительным органам удавалось взыскать выкуп, это случается редко, поэтому не рассчитывайте на это.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии