• Ботнет Phorpiex, который заражает устройства пользователей и ворует криптовалюту, был модернизирован. 
  • Новая версия ботнета получила название Twizt. 
  • Twizt еще опаснее Phorpiex.

Скрытый ботнет, заразивший компьютеры почти в 100 странах, незаметно ворует криптовалюты у своих жертв. С ноября 2020 года по ноябрь 2021 года было похищено почти $500 000. 

Ботнет Phorpiex работает с 2016 года. Он заразил уже сотни тысяч устройств. В 2019 году про него уже писали в СМИ. Тогда сообщалось, что бот устанавливается с помощью рассылки сообщений на электронную почту. Данная кампания приносила мошенникам $20 000 в месяц. 

У Phorpiex есть возможность украсть криптовалюту с помощью так называемого «криптоотсечения» (crypto-clipping). Работает это следующим образом:

  1. Пользователь инициирует транзакцию и вводит адрес, на который он хочет отправить криптовалюту;
  2. В этот момент бот подменяет адрес получателя на тот, который контролируется злоумышленником. 
  3. Если пользователь не перепроверяет указанный адрес, он отправляет криптовалюту злоумышленнику. 

Как сообщают в Check Point Research, Phorpiex поддерживает кражу более 30 криптовалют. С апреля 2016 года он перехватил тысячи транзакций на общую сумму около 38 BTC и 133 ETH. Если считать по текущему курсу, то это около $2.2 млн. 

С ноября прошлого года по ноябрь текущего Phorpiex обработал 969 транзакций. Эти атаки принесли хакерам более $500 000. 

Однако этим летом работа ботнета внезапно прекратилась. Один из его создателей якобы ушел из мира киберпреступности, а другой решил продать код Phorpiex. Неизвестно, состоялась ли продажа, однако ботнет вернулся через несколько недель с новыми настройками. Его модернизированную версию назвали Twizt. 

Главная особенность Twizt в том, что этот ботнет теперь может обмениваться данными в одноранговой сети. Это означает, что его работа не зависит от централизованных серверов управления и контроля. Зараженные хосты могут обмениваться информацией между собой. 

В Twizt также появился протокол с двойным шифрованием и новые функции. Исследователь Check Point Research Алексей Бухтеев обратил внимание, что их появление делает ботнет более стабильным и, следовательно, более опасным. 

Ранее мы написали подробный материал о том, как защитить себя на крипторынке.