Šis izspiedējvīrusu izplatīšanas ļaunprātīgas programmatūras robottīkls vienkārši nepazudīs

Phorpiex ļaunprātīgas programmatūras robottīkls ir slēpies internetā gadiem ilgi un tiek izmantots, lai to piegādātu ransomware, surogātpasta e-pasts un vairāk, bet tagad Microsoft drošības komanda to aplūko tuvāk.

Bottīkls, kas ir pazīstams ar vecmodīgu tārpu izmantošanu, kas izplatās, izmantojot noņemamos USB diskus un tūlītējo ziņojumapmaiņu. lietotnes, pēdējos gados sāka dažādot savu infrastruktūru, lai kļūtu elastīgāka un nodrošinātu bīstamāku lietderīgās kravas, Microsoft teica. Paplašinājās arī robottīkla ģeogrāfiskā mērķauditorijas atlase robotu izplatīšanai un instalēšanai, teikts: jaunākās aktivitātes liecina par pāreju uz globālāku izplatīšanu.

Pats Phorpiex tika uzbrukts 2020. gada sākumā pēc tam, kad kāds acīmredzot uzlauza tās aizmugursistēmu un sāka atinstalēt surogātpasta funkcionalitāti no inficētiem saimniekiem. Lidmašīnas nolaupītājs pat izstrādāja uznirstošo logu, brīdinot lietotājus instalēt pretvīrusu un atjaunināt savus datorus.

SKATĪT: Drošības izpratnes un apmācības politika (TechRepublic Premium)

Drošības firma Check Point 2020. gada novembrī atzīmēja, ka Phorpiex izplatīja Avaddon ransomware — tolaik jaunu izpirkuma programmatūras pakalpojumu, kas tika iznomāts citām kibernoziedzības grupām, lai inficētu mērķus.

"Phorpiex ir viens no vecākajiem un noturīgākajiem robottīkliem, un tā veidotāji to ir izmantojuši daudzi gadiem, lai izplatītu citas ļaunprātīgas programmatūras, piemēram, GandCrab un Avaddon izspiedējvīrusu, vai sekstences izspiešanu krāpniecība," atzīmēja Check Point ļaunprātīgas programmatūras analītiķi.

Viens no iemesliem, kāpēc Microsoft par to interesējas, ir tas, ka Phorpiex robots atspējo Microsoft Defender antivīrusu, lai saglabātu noturību mērķa mašīnās.

"Tas ietver reģistra atslēgu modificēšanu, lai atspējotu ugunsmūra un pretvīrusu uznirstošos logus vai funkcionalitāti, starpniekservera un pārlūkprogrammas ignorēšanu. iestatījumus, ielādētāja un izpildāmo failu iestatīšanu palaišanai startēšanas laikā un šo izpildāmo failu pievienošanu autorizētajai lietojumprogrammai saraksti," Microsoft piezīmes emuāra ziņā.

Uzņēmuma klienti var novērst šos mēģinājumus, iespējojot aizsardzība pret viltojumiem Microsoft Defender for Endpoint — Microsoft mākoņdatošanas uzlabotajā drošības funkcijā, kas automātiski atsauc robota veiktās izmaiņas.

Saskaņā ar Check Point, janvārī Phorpiex bija otrs lielākais robottīkls līdz Emotet robottīklam, kas janvārī tika likvidēta tiesībaizsardzības iestāde un aprīlī nomelnoti.

Microsoft atzīmē, ka no 2020. gada decembra līdz 2021. gada februārim Phorpiex botu ielādētājs tika sastapts 160 valstīs. Visvairāk tikšanās bija Meksikā (8,5%), Kazahstānā (7,8%) un Uzbekistānā (7,3%). Neparasti ASV tikšanās veidoja tikai 2,8%.

"Dažādu infekciju pārnēsātāju un iznākumu kombinācija padara Phorpiex robottīklu no pirmā acu uzmetiena haotisku. Tomēr daudzus gadus Phorpiex ir uzturējusi konsekventu iekšējo infrastruktūru, izmantojot līdzīgus domēnus, komandu un kontroles (C2) mehānismus un pirmkodu," norāda Microsoft draudu pētnieki.

Kamēr robotu ielādētājs ir paredzēts datoriem Meksikā un Rietumāzijā, tā surogātpasta un izspiešanas kampaņas ir vērstas uz vairākiem reģioniem un valodām.

"Mēs novērojām, ka Phorpiex operatori pieprasa maksājumu galvenokārt caur Bitcoin un Dash. Tālāk ir sniegti piemēri vienai šādai kriptovalūtas peļņas apjomam no kampaņas 2021. gada februāra beigās, kuras mērķauditorija bija angliski runājoši lietotāji, ar tēmu “Maksājums no jūsu konta”,” saka Microsoft.

SKATĪT: Ransomware tikko kļuva ļoti reāla. Un tas, visticamāk, pasliktināsies

Grupa nopelnīja 13 000 USD tikai 10 dienu laikā, izmantojot sociālās inženierijas trikus, piemēram, ziņojumos apgalvojot, ka programmā Zoom ir drošības kļūdas. Krāpnieki apgalvoja, ka kļūda ļāva viņiem uzņemt video materiālu, ko viņi izmantos upuru izspiešanai.

Izpirkuma programmatūras izplatīšana, iespējams, rada vislielākos draudus.

Phorpiex izplatītā Avaddon izpirkuma programmatūra "pirms palaišanas veic valodas un reģionālās pārbaudes Krievijā vai Ukrainā, lai nodrošinātu, ka mērķauditorija tiek atlasīta tikai labvēlīgiem reģioniem", norāda Microsoft.

Šķiet, ka Avaddon ir vairāk automatizēta veida izspiedējvīrusa, nevis ar roku uz tastatūras darbināma izpirkuma programmatūra. Avaddons parasti pieprasa Bitcoin izpirkuma maksu 700 USD vērtībā.