Önceden kapatılan Phorpiex botnet, yeni eşler arası komut ve kontrol altyapısıyla yeniden ortaya çıktı ve kötü amaçlı yazılımın bozulmasını daha zor hale getirdi.
Botnet ilk olarak 2016’da piyasaya sürüldü ve yıllar içinde hızla 1 milyondan fazla cihazdan oluşan devasa bir ordu topladı.
Kötü amaçlı yazılım, Windows panosuna kopyalanan kripto para adreslerini kontrolleri altındaki adreslerle değiştirerek veya insanları bir gasp talebi ödemeye korkutmak için seks şantaj e-postalarını spam göndererek geliştiricileri için gelir elde eder.
Ancak, beş yılı aşkın bir geliştirme sürecinin ardından, Phorpiex operatörleri altyapılarını kapattı ve botnet’in kaynak kodunu bir bilgisayar korsanlığı forumunda satmaya çalıştı.
Phorpiex botnet’in kaynak kodu darknet’te satılıyor… pic.twitter.com/GxBsnUacvh
— Cyjax (@Cyjax_Ltd) 27 Ağustos 2021
Tehdit aktörlerinin kötü amaçlı yazılımlarını satıp satamayacakları bilinmemekle birlikte, Check Point araştırmacıları, altyapının “satılık” gönderisinden iki haftadan kısa bir süre sonra Eylül ayında yeniden açıldığını gördü.
Ancak bu sefer, komuta ve kontrol sunucuları, operatörleri bulmayı veya altyapıyı kaldırmayı zorlaştıran bazı yeni hileler içeren yeni bir botnet varyantı dağıttı.
‘Twizt’ ile tanışın
Phorpiex Eylül ayında yeniden başlatıldığında, Check Point, botnet’in merkezi komuta ve kontrol sunucuları olmadan çalışmasına izin veren “Twizt” adlı yeni bir kötü amaçlı yazılım varyantı dağıttığını gördü.
Bunun yerine, yeni Twizt Phorpiex varyantı, statik komut ve kontrol sunucuları çevrimdışıysa, çeşitli virüslü cihazların komutları birbirine iletmesine izin veren bir eşler arası komut ve kontrol sistemi ekledi.
“Eş zamanlı olarak C&C sunucuları daha önce hiç görülmemiş bir botu dağıtmaya başladı. Adı “Twizt”ti ve eşler arası modda çalışabildiği için botnet’in aktif C&C sunucuları olmadan da başarılı bir şekilde çalışmasını sağlıyor.” Check Point’ten yeni rapor.
“Bu, virüslü bilgisayarların her birinin bir sunucu gibi davranabileceği ve bir zincirdeki diğer botlara komut gönderebileceği anlamına geliyor.”
Bu yeni P2P altyapısı aynı zamanda operatörlerin virüslü Windows makineleri sürüsü içinde gizli kalırken ana C2 sunucularının IP adresini gerektiği gibi değiştirmesine de olanak tanır.
Twizt varyantında yer alan yeni özellikler şunları içerir:
- Eşler arası çalışma modu (C2 yok).
- Bir veri bütünlüğü doğrulama sistemi.
- İki katmanlı RC4 şifrelemesine sahip özel bir ikili protokol (TCP veya UDP).
Twizt ayrıca sabit kodlanmış temel URL’ler ve yollar listesi aracılığıyla veya C2 sunucusundan ilgili komutu aldıktan sonra ek yükler indirebilir.
Seks şantajından kripto kırpmaya
Phorpiex daha önce teslimat için biliniyordu büyük çaplı cinsel şantaj spam kampanyaları, tehdit aktörlerinin saatte 30.000’den fazla sextortion e-postasını spam yapmasına izin veriyor.
Operatörler, insanları kripto para göndermeleri için kandırarak ayda yaklaşık 100 bin dolar kazandı ve bunu nispeten zahmetsizce yaptı.
Botnet ayrıca, Windows panosuna kopyalanan kripto para birimi cüzdan adreslerini tehdit aktörleri tarafından kontrol edilenlerle değiştiren kripto kırpma veya bir pano korsanı kullanır. Yani artık bir kişi başka bir adrese kripto para göndermeye çalıştığında, bunun yerine tehdit aktörünün kontrolündeki kişilere gönderiliyor.
Kripto para adreslerini hatırlamak zor olduğundan, insanlar yanlış adrese gittiğini fark edene kadar kripto para birimlerinin çalındığını fark etmeyeceklerdir.
Botnet’in bir C2 veya herhangi bir merkezi yönetim olmadan çalışabilmesi nedeniyle, operatörleri tutuklansa ve altyapı kapatılsa bile, virüslü makineler işlemleri yanlış cüzdanlara yönlendirmeye devam edecek.
CheckPoint, bu amaçla kullanılan 60 benzersiz Bitcoin ve 37 benzersiz Ethereum cüzdanı belirledi ve Dogecoin, Dash, Monero ve Zilliqa’nın da hedef alındığını söyledi.
En son Phorpiex sürümünün kesme makinesi tarafından desteklenen cüzdanlara gelince, bunlar:
LISK, POLKADOT, BITCOIN, DALGALAR, DASH, DOGECOIN, ETHEREUM, LITECOIN, RIPPLE, BITTORRENT, ZCASH, TEZOS, ICON, QTUM, RAVENCOIN, NEM, NEO, SMARTCASH, ZILLIQA, ZCASH PRASHIVATE, BOSMINC, CASH, COOSMINC, CARDANO, GROESTLCOIN, STELLAR, BITCOIN GOLD, BAND PROTOKOLÜ, MÜKEMMEL PARA USD, MÜKEMMEL PARA EURO, MÜKEMMEL PARA BTC.
Geçtiğimiz on iki ay içinde Phorpiex, kripto kırpma bileşenini kullanarak 969 işlemi ele geçirerek 3.64 Bitcoin (172.300$), 55.87 Ether (216.000$) ve 55.000$ değerinde ERC20 tokeni çaldı.
Varlıklarınızı koruyun
Phorpiex botnet, kodunu yeni eşler arası komut ve kontrol özelliklerini kullanacak şekilde geliştirirken, kötü amaçlı yazılımın hala etkin geliştirme aşamasında olduğunu gösteriyor.
Check Point, “Bu tür özelliklerin ortaya çıkması, botnet’in daha kararlı ve dolayısıyla daha tehlikeli hale gelebileceğini gösteriyor” diye uyarıyor.
Kendinizi Phorpiex gibi tehditlere karşı korumak için Check Point aşağıdaki ipuçlarını sunar:
- Kripto para işlemleri yaparken, yapıştırılan cüzdan adresinin gerçekten doğru olduğundan emin olun.
- Büyük bir miktar göndermeden önce küçük bir test işlemi yapmak da fazla para kaybetmemek için makul bir önlemdir.
- Güvenlik açıklarını gidermek için işletim sistemlerinizi ve yüklü uygulamalarınızı güncelleyin.
- Kripto para cüzdanları ve araçları ararken yanlışlıkla bir reklama tıklamadığınızdan emin olun, çünkü bu reklamlar genellikle dolandırıcılığa yol açar.
Son olarak, kripto para birimi işlemleri geri alınamaz ve kayıp miktarların geri alınması ancak kolluk kuvvetlerinin bir tehdit aktörünün cüzdanına erişmesi durumunda gerçekleşebilir.
Kolluk operasyonları devam ederken fidye ödemelerini geri alabildi geçmişte, nadiren böyledir, bu yüzden buna güvenmeyin.