Variant av Phorpiex botnett brukt til kryptovalutangrep i Ethopia, Nigeria, India og mer

0
179

Jonathan GreigSkrevet av Jonathan Greig, Staff Writer Jonathan Greig Jonathan Greig Staff Writer

Jonathan Greig er en journalist basert i New York City.

Full Bio 16. desember 2021 | Emne: Sikkerhet

Check Point Research har oppdaget nye angrep rettet mot brukere av kryptovaluta i Etiopia, Nigeria, India og 93 andre land. Nettkriminelle bak angrepene bruker en variant av Phorpiex-botnettet – som Check Point kalte «Twizt» – for å stjele kryptovaluta gjennom en prosess som kalles «crypto clipping».

På grunn av lengden på lommebokadresser, kopierer de fleste systemer en lommebokadresse og lar deg enkelt lime den inn under transaksjoner. Med Twizt har nettkriminelle vært i stand til å erstatte den tiltenkte lommebokadressen med trusselaktørens lommebokadresse.

Forskere med Check Point sa at de har sett 969 transaksjoner fanget opp, og la merke til at Twizt “kan operere uten aktive kommando- og kontrollservere, noe som gjør den i stand til å unngå sikkerhetsmekanismer,” noe som betyr at hver datamaskin den infiserer kan utvide botnettet.

Det siste året har de sett 3,64 Bitcoin, 55,87 Ether og $55 000 i ERC20-tokens stjålet av Twizt-operatører, som beløper seg til rundt $500 000. Bare i ett tilfelle ble 26 ETG tatt. Mellom april 2016 og november 2021 kapret Phorpiex-roboter rundt 3000 transaksjoner verdt nesten 38 Bitcoin og 133 Ether. Nettsikkerhetsselskapet bemerket at dette bare var en del av angrepene som fant sted.

Phorpiex var opprinnelig kjent som et botnett som ble brukt til sextortion og krypto-jacking, men utviklet seg til å inkludere løsepengevare. Check Point sa at Phorpiex har vært i drift siden minst 2016 og opprinnelig var kjent som et botnett som opererte ved hjelp av IRC-protokollen.

“I 2018-2019 byttet Phorpiex til modulær arkitektur og IRC-roboten ble erstattet med Tldr – en laster kontrollert gjennom HTTP som ble en nøkkeldel av Phorpiex botnett-infrastruktur. I vår forskningsrapport for Phorpiex Breakdown for 2019 estimerte vi at over 1 000 000 datamaskiner var infiserte med Tldr,” forklarte Check Point.

Microsofts Defender Threat Intelligence Team ga ut et langt blogginnlegg i mai som advarte om at Phorpiex “begynte å diversifisere infrastrukturen de siste årene for å bli mer robust og for å levere farligere nyttelast.”

I august falt aktiviteten til Phorpiex kommando- og kontrollservere kraftig, og en av personene bak botnettet la ut en annonse på darknet som tilbød kildekoden for salg. Check Points Alexey Bukhteyev fortalte The Record at selv om kommando- og kontrollserverne var nede, kunne enhver kjøper av kildekoden sette opp et nytt botnett ved å bruke alle de tidligere infiserte systemene.

Det er uklart om botnettet faktisk ble solgt, men Check Point sa at kommando- og kontrollserverne var tilbake online på en annen IP-adresse i løpet av uker. Da kommando- og kontrollserverne ble startet på nytt etter pausen i august, begynte de å distribuere Twizt, som lar botnettet “fungere vellykket uten aktive kommando- og kontrollservere, siden det kan operere i node-til-node-modus.”

“Dette betyr at hver av de infiserte datamaskinene kan fungere som en server og sende kommandoer til andre roboter i en kjede. Ettersom et virkelig stort antall datamaskiner er koblet til Internett via NAT-rutere og ikke har en ekstern IP-adresse, Twizt-bot rekonfigurerer hjemmerutere som støtter UPnP og setter opp portkartlegging for å motta innkommende tilkoblinger,” forklarte Check Point.

“Den nye boten bruker sin egen binære protokoll over TCP eller UDP med to lag med RC4-kryptering . Den verifiserer også dataintegriteten ved å bruke RSA og RC6-256 hash-funksjon.”

Nå sa Check Point at de nye funksjonene til Twizt får dem til å tro at botnettet “kan bli enda mer stabilt og derfor farligere.” Check Point har sett angrep holde seg konsekvente selv når kommando- og kontrollservere er inaktive. Det har vært en økning i angrep de siste to månedene, med hendelser som rammet 96 forskjellige land.

Alexander Chailytko, cybersikkerhetsforskning & innovasjonssjef hos Check Point Software, sa at det er to hovedrisikoer forbundet med den nye varianten av Phorpiex.

“For det første er Tiwzt i stand til å operere uten kommunikasjon med C&C, derfor er det lettere å unngå sikkerhetsmekanismer, som brannmurer for å gjøre skade. For det andre støtter Twizt mer enn 30 forskjellige kryptovaluta-lommebøker fra forskjellige blokkkjeder, inkludert store som Bitcoin, Ethereum, Dash, Monero,” sa Chailytko.

“Dette gir en enorm angrepsoverflate, og i utgangspunktet kan alle som bruker krypto bli berørt. Jeg oppfordrer sterkt alle brukere av kryptovaluta til å dobbeltsjekke lommebokadressene de kopierer og limer inn, siden du kan være utilsiktet ved å sende kryptovalutaen din inn i feil hender.”

Check Point oppfordret eiere av kryptovalutaer til alltid å dobbeltsjekke de originale og innlimte adressene for å sikre at de stemmer overens. Folk bør også sende testtransaksjoner før store handler.

I rapporten sa forskere at Phorpiex kryptoklipper støtter mer enn 30 lommebøker for forskjellige blokkkjeder. De bemerket også at botnett-operatørene kan være i Ukraina på grunn av bevis som indikerer at boten ikke kjører hvis brukerens standard stedforkortelse er “UKR.”

Selv om den tjente en rekke formål, sjekk Points rapport sier at Phorpiex opprinnelig ikke ble ansett som et sofistikert botnett.

“Alle modulene var enkle og utførte det minimale antallet funksjoner. Tidligere versjoner av Tldr-modulen brukte ikke kryptering for nyttelastene. Dette hindret imidlertid ikke botnettet i å oppnå sine mål. Skadevare med funksjonaliteten til en orm eller et virus kan fortsette å spre seg autonomt i lang tid uten ytterligere involvering fra skaperne,” forklarte Check Point.

“Vi viste at en teknikk for klipping av kryptovaluta for et botnett av denne skalaen kan generere betydelig fortjeneste (hundretusen tusen amerikanske dollar årlig), og krever ingen form for administrasjon gjennom kommando- og kontrollservere. I det siste året mottok Phorpiex en betydelig oppdatering som forvandlet det til et peer-to-peer botnett, slik at det kunne administreres uten å ha en sentralisert infrastruktur. Kommando- og kontrollserverne kan nå endre IP-adressene sine og utstede kommandoer, gjemme seg blant botnettofrene.”

Sikkerhet

Log4j trussel: Hva du trenger å vite og hvordan du kan beskytte deg selv Ransomware i 2022: Vi er alle skrudd Microsoft Patch Tirsdag: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepengevare, advarer om datainnbrudd og “flere ukers” utfall Det beste VPN-er for små og hjemmebaserte bedrifter i 2021 Security TV | Databehandling | CXO | Datasentre