Този ботнет за разпространение на рансъмуер просто няма да изчезне

Ботнетът за злонамерен софтуер Phorpiex дебне в интернет от години и се използва за доставяне на рансъмуер, нежелана поща и други, но сега екипът за сигурност на Microsoft го разглежда отблизо.

Ботнетът е известен с това, че използва старомодни червеи, които се разпространяват чрез сменяеми USB устройства и приложения за незабавни съобщения, започна да диверсифицира инфраструктурата си през последните години, за да стане по-устойчив и да доставя по-опасни полезни товари, Microsoft каза. Географското насочване на ботнета за разпространение и инсталиране на ботове също се разшири, според него: по-скорошната дейност показва преминаване към по-глобално разпространение.

Самият Phorpiex беше атакуван в началото на 2020 г., след като някой очевидно отвлече неговия бекенд и започна да деинсталира функцията за спам от заразени хостове. Похитителят дори разработи изскачащ прозорец, предупреждаващ потребителите да инсталират антивирус и да актуализират своите компютри.

Охранителната фирма Check Point отбеляза през ноември 2020 г., че Phorpiex е разпространявал рансъмуера Avaddon – нова тогава услуга за рансъмуер, отдадена под наем за други групи за киберпрестъпност, за да зарази цели.

„Phorpiex е един от най-старите и постоянни ботнети и се използва от създателите му в продължение на много години за разпространение на други полезни натоварвания на злонамерен софтуер като GandCrab и Avaddon рансъмуер или за измами с изнудване“ Отбелязват анализатори на зловреден софтуер Check Point.

Една от причините Microsoft да се интересува от него е, че ботът Phorpiex деактивира антивируса на Microsoft Defender, за да поддържа постоянството на целевите машини.

“Това включва промяна на ключовете в системния регистър, за да деактивира изскачащите прозорци или функционалности на защитната стена и антивируса, заменяне на настройките на прокси сървъра и браузъра, настройка на зареждащия файл и изпълнимите файлове, които да се изпълняват при стартиране, и добавяне на тези изпълними файлове в оторизираните списъци с приложения,” Microsoft отбелязва в публикация в блог.

Корпоративните клиенти могат да предотвратят тези опити, като разрешат защита от фалшификация в Microsoft Defender for Endpoint, базирана на облак разширена функция за защита на Microsoft, която автоматично ще върне промените, направени от бота.

Според Check Point, през януари Phorpiex беше вторият по големина ботнет към ботнета на Emotet, който правоприлагащите органи изведоха от експлоатация през януари и деактивираха през април.

Microsoft отбелязва, че от декември 2020 г. до февруари 2021 г. бот товарачът Phorpiex е срещан в 160 държави. Най-високото ниво на срещи е в Мексико (8,5%), Казахстан (7,8%) и Узбекистан (7,3%). Необичайно срещите в САЩ представляват едва 2,8%.

„Комбинацията от голямото разнообразие от вектори на инфекция и резултати прави ботнета Phorpiex на пръв поглед да изглежда хаотична. Въпреки това, в продължение на много години Phorpiex поддържа последователна вътрешна инфраструктура, използваща подобни домейни, механизми за управление и управление (C2) и източник код “, отбелязват изследователите на заплахите на Microsoft.

Докато bot loader е насочен към компютри в Мексико и Западна Азия, неговите кампании за спам и изнудване са насочени към множество региони и езици.

„Наблюдавахме, че операторите на Phorpiex изискват плащане предимно чрез биткойн и тире. Примери за един такъв обем печалба от криптовалута от кампания в края на февруари 2021 г., насочена към англоговорящи потребители, е по-долу, с тема„ Плащане от вашия акаунт “, казва Microsoft.

Групата е спечелила 13 000 долара само за 10 дни, използвайки трикове за социално инженерство, като да твърди, че в съобщенията има грешки в сигурността в Zoom. Измамниците твърдят, че грешката им е позволила да заснемат видео материали, които биха използвали за изнудване на жертвите.

Разпространението на рансъмуер вероятно представлява най-голямата заплаха.

Рансъмуерът Avaddon, разпространяван от Phorpiex, „извършва езикови и регионални проверки за Русия или Украйна, преди да стартира, за да гарантира, че са насочени само към облагодетелствани региони“, според Microsoft.

Avaddon изглежда е по-скоро автоматизиран тип рансъмуер, отколкото управляван от клавиатурата рансъмуер. Avaddon обикновено изисква откуп от биткойн на стойност $ 700.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com