Según investigadores de Check Point, la botnet Phorpiex era simple, pero bastante prolífico: Phorpiex cuenta actualmente con más de 1 millones de ordenadores Windows infectados.
Esta botnet se utiliza principalmente para robar criptomonedas y minería oculta.. La actividad ilegal aporta anualmente a los operadores de bots alrededor de medio millón de dólares.
Las herramientas utilizadas por Phorpiex no son demasiado sofisticadas. Obviamente, no se dedicó mucho tiempo a su desarrollo. Este caso nos muestra que los ciberdelincuentes pueden crear una botnet tan masiva sin un conocimiento profundo de la programación del sistema., criptografía, etc.. Pero el ecosistema que existe actualmente en Darknet hace que sea bastante fácil implementar casi cualquier idea para el cibercrimen”., — informe Especialista en puntos de control.
Los bots maliciosos tienen la capacidad de propagarse y también pueden descargarse mediante un paquete de exploits. (PLATAFORMA) u otro malware (Cargador de humo).
La botnet Phorpiex también es conocida por la comunidad del EI con un nombre diferente – Truco.
Inicialmente, la red fue administrada a través de canales IRC, y cuando creció, los operadores cambiaron a HTTP. Este año, Los observadores de Check Point no encontraron ni un solo C activo&Servidor C accesible a través de IRC, aunque todavía hay miles de bots residentes en Trik preparados para tal conexión.
El malware modular que reemplazó a Trik, sobre cuya base funciona el Phorpiex moderno, se llama Tldr. Su objetivo principal es descargar archivos adicionales.. Algunas muestras de este malware son capaces de propagarse de forma independiente a través de medios extraíbles”., – explican los investigadores de Check Point.
Los expertos también han descubierto variantes de Tldr con funcionalidad de virus de archivos.
El nuevo robot, como su predecesor, También sabe trabajar con el portapapeles. – reconocer las direcciones de las criptomonedas y realizar una sustitución a favor de sus propietarios. Gracias a esto, Los operadores de Phorpiex pueden generar ingresos sin esfuerzo adicional e incluso cuando los centros de control están desconectados. Según Punto de Control, en los últimos tres años, Los operadores de bots han robado de esta manera más de 17 bitcoins.
Para extraer moneda digital, Tldr descarga el XMRig minero a la máquina infectada. Según los expertos, El criptojacking ofrece a los operadores de bots más de $14 mil por mes. También proporcionan servicios de distribución de malware. – Secuestro de datos (CangrejoGand), ladrones de información (Mapache, Depredador). El ransomware no se está descargando actualmente; tras el cierre del servicio GandCrab RaaS, Los operadores de Phorpiex pasaron al spam extorsionador, lo que les trajo más de 14 bitcoins en seis meses.
Leer también: Se envía la botnet Phorpiex 30,000 sextorsión cartas por hora
La cantidad mensual de datos intercambiados por los bots con los centros de control., según punto de control, puede exceder 70 tuberculosis. Este es un tráfico sólido., y ocultar la infraestructura de mando, Los operadores de bots utilizan subredes dedicadas registradas con dummies.. Como se vio despues, Tldr se refiere al mismo C&Servidores C que anteriormente comandaban los bots Trik IRC. Sus direcciones IP y nombres de dominio están incrustados en el código de malware.; esta lista se actualiza periódicamente.
Los bots controlan constantemente la actividad de los centros de control, ordenar las posiciones de la lista, y continuar la encuesta, incluso después de recibir una respuesta positiva. Los investigadores lograron registrar varios dominios después de analizar muestras de Tldr con varios archivos de configuración.. Habiendo reemplazado a C&Servidores C, ellos diariamente grabaron hasta 100 mil bots activos (Direcciones IP) y en dos meses contó más de 1 Millones de hosts únicos intentando establecer una conexión..
Estos focos de infección se localizaron principalmente en Asia., con una alta concentración en la India, Porcelana, Tailandia y Pakistán. Varios bots también se infiltraron en Estados Unidos., México y varios países africanos.. La población europea de Phorpiex era insignificante”, – informe de los expertos de Check Point.
En general, monitorear la actividad de esta botnet en 2019 reveló más de 4,000 diferentes muestras de Tldr, acerca de 300 opciones del archivo de configuración y 3,297 C&Dominios C y direcciones IP. Del último, IP 185[.]176[.]27[.]132 en bloque/24, asignado a un determinado proveedor de servicios de transporte en Kazán (Rusia), con la introducción del tráfico a través de Bulgaria, actualmente es el más activo.
Deja un comentario