Η Check Point Research ανακάλυψε νέες επιθέσεις που στοχεύουν ιδιοκτήτες cryptocurrencies στην Αιθιοπία, τη Νιγηρία, την Ινδία και 93 άλλες χώρες. Οι κυβερνοεγκληματίες πίσω από τις επιθέσεις χρησιμοποιούν μια παραλλαγή του Phorpiex botnet, την οποία οι ερευνητές ονόμασαν “Twizt”. Στόχος είναι η κλοπή cryptocurrencies μέσω μιας διαδικασίας που ονομάζεται “crypto clipping“.
Το botnet εμφανίστηκε για πρώτη φορά το 2016 και γρήγορα συγκέντρωσε έναν τεράστιο “στρατό συσκευών” (πάνω από 1 εκατομμύριο κατά τη διάρκεια αυτών των χρόνων).
Το malware δημιουργεί έσοδα για τους προγραμματιστές του, ανταλλάσσοντας cryptocurrency διευθύνσεις που έχουν αντιγραφεί στο Windows clipboard με διευθύνσεις που βρίσκονται υπό τον έλεγχο των επιτιθέμενων. Σε άλλες περιπτώσεις, οι εγκληματίες στέλνουν sextortion emails για να τρομάξουν τους ανθρώπους και να τους κάνουν να πληρώσουν χρήματα.
Δείτε επίσης: Το Dark Mirai botnet στοχεύει το RCE δημοφιλούς δρομολογητή TP-Link
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/377168/phorpiex-botnet-nea-parallagi-twizt-klopi-credentials/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:404e1a3a57382f713f71794e708fed4c/https://www.secnews.gr/botnet.png&description=Οι εγκληματίες xρησιμοποιούν μια παραλλαγή του Phorpiex botnet, με το όνομα "Twizt", η οποία διευκολύνει την κλοπή cryptocurrencies){kind=link}
Ωστόσο, μετά από περισσότερα από πέντε χρόνια ανάπτυξης, οι χειριστές του Phorpiex botnet έκλεισαν την υποδομή τους και προσπάθησαν να πουλήσουν τον source code σε ένα hacking φόρουμ.
Οι ερευνητές της Check Point είδαν ότι η υποδομή ενεργοποίηθηκε ξανά τον Σεπτέμβριο, περίπου δύο εβδομάδες μετά την ανάρτηση για πώληση του source code.
Αυτή τη φορά, ωστόσο, οι command and control servers διένειμαν μια νέα παραλλαγή του Phorpiex botnet, την Twizt, που περιλαμβάνει μερικά νέα κόλπα για να είναι πιο δύσκολη η εύρεση των χειριστών ή η κατάργηση της υποδομής.
Phorpiex botnet: Παρουσιάζοντας την παραλλαγή “Twizt”
Όταν εμφανίστηκε ξανά το Phorpiex, τον Σεπτέμβριο, η Check Point το είδε να διανέμει τη νέα παραλλαγή “Twizt”, που επιτρέπει στο botnet να λειτουργεί χωρίς centralized command and control servers.
Αντ’ αυτού, η νέα παραλλαγή Twizt Phorpiex έχει προσθέσει ένα peer-to-peer command and control σύστημα που επιτρέπει στις διάφορες μολυσμένες συσκευές να αναμεταδίδουν εντολές μεταξύ τους, ακόμα και εάν οι static command and control servers είναι εκτός σύνδεσης.
“Αυτό σημαίνει ότι καθένας από τους μολυσμένους υπολογιστές μπορεί να λειτουργήσει ως διακομιστής και να στείλει εντολές σε άλλα bots σε μια αλυσίδα“, ανέφερε η εταιρεία.
Αυτή η νέα υποδομή P2P επιτρέπει επίσης στους χειριστές να αλλάζουν τη διεύθυνση IP των κύριων C2 servers.
Δείτε επίσης: 300.000 συσκευές MikroTik εξακολουθούν να είναι ευάλωτες σε botnets
Σύμφωνα με την Check Point, τα νέα χαρακτηριστικά της παραλλαγής Twizt Phorpiex περιλαμβάνουν:
- Ένα peer-to-peer operation mode (όχι C2).
- Ένα data integrity verification σύστημα.
- Ένα custom binary protocol (TCP ή UDP) με δύο επίπεδα κρυπτογράφησης RC4.
Το Twizt Phorpiex μπορεί επίσης να πραγματοποιήσει λήψη πρόσθετων payloads μέσω μιας λίστας hard-coded base URLs και paths.
Από το sextortion στο crypto-clipping
Το Phorpiex ήταν προηγουμένως γνωστό για τη διανομή sextortion spam emails, που επέτρεπαν στους φορείς απειλών να στέλνουν πάνω από 30.000 sextortion emails ανά ώρα.
Οι χειριστές του botnet έβγαζαν περίπου 100 χιλιάδες δολάρια το μήνα εξαπατώντας τους ανθρώπους να τους στείλουν cryptocurrencies.
Όπως είπαμε παραπάνω, όμως, το Phorpiex botnet χρησιμοποιεί τώρα το crypto-clipping ή ένα clipboard hijacker, που αντικαθιστά cryptocurrency wallet addresses που έχουν αντιγραφεί στο πρόχειρο των Windows με αυτά που ελέγχονται από τους παράγοντες απειλών. Έτσι, όταν το θύμα επιχειρεί να στείλει cryptocurrency σε μια άλλη διεύθυνση, τα στέλνει στους εγκληματίες.
Λόγω της ικανότητας του botnet να λειτουργεί χωρίς C2 ή οποιαδήποτε κεντρική διαχείριση, τα μολυσμένα μηχανήματα θα συνεχίσουν να κατευθύνουν τις συναλλαγές σε λάθος πορτοφόλια, ακόμη και αν οι χειριστές του botnet συλληφθούν και η υποδομή καταργηθεί.
Δείτε επίσης: Το Moobot botnet εξαπλώνεται μέσω ευπάθειας στις κάμερες Hikvision
Οι ερευνητές της Check Point είδαν ότι επηρεάζονται Bitcoin wallets, Ethereum, Dogecoin, Dash, Monero και Zilliqa.
Όσον αφορά στα wallets που υποστηρίζονται από το clipper της τελευταίας έκδοσης Phorpiex, αυτά είναι:
LISK, POLKADOT, BITCOIN, WAVES, DASH, DOGECOIN, ETHEREUM, LITECOIN, RIPPLE, BITTORRENT, ZCASH, TEZOS, ICON, QTUM, RAVENCOIN, NEM, NEO, SMARTCASH, ZILLIQA, BITTORRENT, ZCASH, TEZOS, CARDANO, GROESTLCOIN, STELLAR, BITCOIN GOLD, BAND PROTOCOL, PERFECT MONEY USD, PERFECT MONEY EURO, PERFECT MONEY BTC.
Πώς να προστατευτείτε;
Για να προστατευτείτε από απειλές όπως το Phorpiex botnet και τη νέα παραλλαγή του Twizt, η Check Point προσφέρει τις ακόλουθες συμβουλές:
- Όταν εκτελείτε συναλλαγές με cryptocurrencies, βεβαιωθείτε ότι το wallet address είναι όντως το σωστό.
- Κάντε μια μικρή δοκιμαστική συναλλαγή πριν από την αποστολή ενός μεγάλου ποσού, ώστε να αποφευχθεί η απώλεια πολλών χρημάτων.
- Ενημερώστε τα λειτουργικά συστήματα και τις εγκατεστημένες εφαρμογές σας για να διορθώσετε ευπάθειες.
- Φροντίστε να μην κάνετε κλικ σε διαφημίσεις, όταν αναζητάτε cryptocurrency wallets και εργαλεία, καθώς αυτές οι διαφημίσεις συνήθως οδηγούν σε απάτες.
Πηγή: Bleeping Computer