A segurança na internet tem sido cada vez mais ameaçada por hackers, com ferramentas cada vez mais fortes. E, por falar nisso, o botnet Phorpiex acaba de ressurgir com uma nova infraestrutura de controle e comando ponto a ponto, tornando o malware mais difícil de interromper.
Essa botnet já havia sido desativada, mas agora parece que voltou com força total e um pouco mais. Esse botnet apareceu pela primeira vez em 2016. Ao longo dos anos, ele chegou a atingir um milhão de dispositivos. O malware gera receita para seus desenvolvedores trocando endereços de criptomoedas copiados para a área de transferência do Windows por endereços sob seu controle ou enviando e-mails de sextorção para assustar as pessoas e fazê-las pagar por extorsão.
Após mais de cinco anos de desenvolvimento, os operadores do Phorpiex desligaram sua infraestrutura e tentaram vender o código-fonte do botnet em um fórum de hackers. No entanto, pesquisadores da Check Point viram que a infraestrutura foi reativada em setembro, menos de duas semanas após a publicação “à venda”.
Desta vez, porém, os servidores de comando e controle distribuíram uma nova variante do botnet que incluía alguns novos truques para tornar mais difícil encontrar os operadores ou derrubar a infraestrutura.
Botnet Phorpiex
Quando o Phorpiex foi relançado em setembro, a Check Point o viu distribuindo uma nova variante de malware chamada “Twizt“, que permite que o botnet opere sem comandos centralizados e servidores de controle. Em vez disso, a nova variante Twizt Phorpiex adicionou um comando ponto a ponto e sistema de controle que permite que vários dispositivos infectados retransmitam comandos uns aos outros se os servidores de comando e controle estáticos estiverem offline.
Essa nova infraestrutura P2P também permite que os operadores alterem o endereço IP dos principais servidores C2 conforme necessário, enquanto permanecem ocultos em um enxame de máquinas Windows infectadas.
Os novos recursos incluídos na variante Twizt incluem um modo de operação ponto a ponto (sem C2), um sistema de verificação de integridade de dados e um protocolo binário personalizado (TCP ou UDP) com duas camadas de criptografia RC4. Além disso, o Twizt também pode baixar cargas úteis adicionais por meio de uma lista de caminhos e URLs base codificados ou depois de receber o comando correspondente do servidor C2.
Proteja seus ativos
Com o botnet Phorpiex evoluindo seu código para usar novos recursos de controle e comando ponto a ponto, isso mostra que o malware ainda está em desenvolvimento ativo. Para se proteger contra ameaças como Phorpiex, o Check Point oferece as seguintes dicas:
Ao realizar transações de criptomoeda, certifique-se de verificar novamente se o endereço da carteira colada é realmente o correto.
Realizar uma pequena transação de teste antes de enviar uma grande quantia também é uma precaução razoável para evitar perder muito dinheiro.
Atualize seus sistemas operacionais e aplicativos instalados para corrigir vulnerabilidades.
Certifique-se de não clicar por engano em um anúncio ao pesquisar carteiras e ferramentas de criptomoeda, pois esses anúncios geralmente levam a golpes.
Por fim, as transações de criptomoeda não podem ser revertidas, e a recuperação de quantias perdidas só pode acontecer se a aplicação da lei obtiver acesso à carteira do ator da ameaça. Mas, não é bom contar com isso.
Via: BleepingComputer
