Новая версия вредоноса позволяет ботнету работать без C&C-серверов и опустошать криптокошельки.
https://www.securitylab.ru/upload/ib...1eb5459701.jpg
Пользователей криптовалюты в Эфиопии, Нигерии, Индии, Гватемале и на Филиппинах атакует новый вариант ботнета Phorpiex под названием Twizt, похищающий виртуальные монеты. За последний год злоумышленники похитили $500 тыс.
По данным ИБ-компании Check Point Research, новая версия вредоносного ПО «позволяет ботнету успешно работать без активных [C&C] серверов» и опустошать 35 кошельков, связанных с разными блокчейнами, в том числе Bitcoin, Ethereum, Dash, Dogecoin, Litecoin, Monero, Ripple и Zilliqa.
Ботнет Phorpiex, также известный как Trik, известен за рассылку спама вымогательского характера и участие в кампаниях вымогательского ПО и криптоджекинге – использовании устройств наподобие компьютеров, смартфонов и серверов для майнинга криптовалюты без ведома и согласия их владельцев.
Ботнет также использует технику под названием cryptocurrency clipping, заключающуюся в похищении криптовалюты в ходе транзакции с помощью вредоносного ПО, автоматически заменяющего адрес кошелька, куда переводятся средства, на адрес кошелька киберпреступников. Специалисты ИБ-компании Check Point выявили 60 уникальных биткойн-кошельков и 37 эфириум-кошельков, использующихся Phorpiex.
Операторы ботнета свернули свои операции и выставили исходный код на продажу в даркнете в августе 2021 года, но спустя менее двух недель его C&C-серверы заработали снова. Они стали распространять Twizt – ранее неизвестную полезную нагрузку, способную развертывать дополнительное вредоносное ПО. Кроме того, Twizt может работать в пиринговом режиме, благодаря чему ему не требуется централизованный C&C-сервер.
Зараженные Phorpiex боты были обнаружены в 96 странах мира. Ботнет предположительно перехватил порядка 3 тыс. транзакций на общую сумму в 38 биткойнов и 133 эфиров. Примечательно, что вредонос прекращает выполнение, если на системе языком по умолчанию является украинский.