Ботнет PHORPIEX: незамысловат, но плодовит

По оценке исследователей из Check Point, в настоящее время в состав ботнета Phorpiex входит более 1 млн зараженных Windows-компьютеров. Он используется в основном для кражи криптовалюты и скрытого майнинга. Противозаконная деятельность ежегодно приносит ботоводам около полумиллиона долларов.

Вредоносные боты обладают способностью к самораспространению, а также могут быть загружены с помощью эксплойт-пака (RIG) или другого зловреда (Smoke Loader).

Ботнет Phorpiex также известен ИБ-сообществу под другим именем — Trik. Вначале его операторы использовали для управления IRC-каналы, а когда сеть разрослась, перешли на HTTP. В этом году наблюдатели из Check Point не обнаружили ни одного активного C&C-сервера, доступного по IRC, хотя резидентные боты Trik, заточенные под такую связь, до сих пор исчисляются тысячами.

Сменивший Trik модульный зловред, на основе которого функционирует современный Phorpiex, именуется Tldr. Его основным назначением является загрузка дополнительных файлов. Некоторые образцы этой вредоносной программы способны самостоятельно распространяться через сменные носители. Эксперты также обнаружили варианты Tldr, обладающие функциональностью файлового вируса.

Новый бот, как и его предшественник, также умеет работать с буфером обмена — распознавать адреса криптокошельков и осуществлять подмену в пользу своих хозяев. Благодаря этому операторы Phorpiex имеют возможность получать доход без дополнительных усилий и даже при отключенных центрах управления. По данным Check Point, за три года ботоводы украли таким образом более 17 биткойнов.

Для добычи цифровой валюты Tldr загружает на зараженную машину майнер XMRig. По подсчетам экспертов, криптоджекинг приносит ботоводам более $14 тыс. в месяц. Они также оказывают услуги по распространению вредоносных программ — шифровальщиков (GandCrab), похитителей информации (RaccoonPredator). В настоящее время загрузка вымогательского ПО не производится; после закрытия RaaS-сервиса GandCrab операторы Phorpiex переключились на рассылку вымогательского спама, который за полгода принес им более 14 биткойнов.

Ежемесячный объем данных, которыми боты обмениваются с центрами управления, по оценке Check Point, может превышать 70 Тбайт. Это солидный трафик, и для сокрытия командной инфраструктуры ботоводы используют выделенные подсети, зарегистрированные на подставных лиц. Как оказалось, Tldr обращается к тем же C&C-серверам, которые ранее командовали IRC-ботами Trik. Их IP-адреса и имена доменов вшиты в код зловреда; этот список регулярно обновляется.

Боты постоянно проверяет активность центров управления, перебирая позиции списка, и продолжают опрос, даже получив положительный ответ. Исследователям удалось зарегистрировать ряд доменов после анализа образцов Tldr с различными конфигурационными файлами. Подменив C&C-серверы, они ежедневно фиксировали до 100 тыс. активных ботов (IP-адресов) и за два месяца насчитали более 1 млн уникальных хостов, пытавшихся установить соединение. Эти очаги заражения были в основном расположены в Азии, с высокой концентрацией в Индии, Китае, Таиланде и Пакистане. Некоторое количество ботов проникло также в США, Мексику и ряд африканских стран. Европейская популяция Phorpiex оказалась ничтожной.

В целом мониторинг активности этого ботнета в 2019 году выявил более 4000 различных образцов Tldr, около 300 вариантов конфигурационного файла и 3297 доменов и IP-адресов C&C. Из последних в настоящее время наибольшую активность проявляют IP 185[.]176[.]27[.]132 в блоке /24, выделенном некоему поставщику транспортных услуг в Казани, с вводом трафика через Болгарию, а также подсеть 92[.]63[.]197[.]0/24, зарегистрированная на имя харьковского предпринимателя, торгующего в розницу продуктами питания, алкоголем и табачными изделиями. Примечательно, что харьковский блок адресов ассоциируется не только с Phorpiex, но и с рядом других угроз — Smoke Loader, Necurs, сканами портов, фишингом и спам-рассылками.

Источник: https://threatpost.ru/phorpiex-botnet-not-too-sophisticated-but-very-prolific/34872/