Variante du botnet Phorpiex utilisée pour les attaques de crypto-monnaie en Éthiopie, au Nigéria, en Inde et plus encore
Check Point Research a découvert de nouvelles attaques ciblant les utilisateurs de crypto-monnaie en Éthiopie, au Nigéria, en Inde et dans 93 autres pays. Les cybercriminels à l’origine des attaques utilisent une variante du botnet Phorpiex – que Check Point a appelé « Twizt » – pour voler la crypto-monnaie via un processus appelé « crypto clipping ».
En raison de la longueur des adresses de portefeuille, la plupart des systèmes copient une adresse de portefeuille et vous permettent simplement de la coller pendant les transactions. Avec Twizt, les cybercriminels ont pu remplacer l’adresse de portefeuille prévue par l’adresse de portefeuille de l’acteur de la menace.
Les chercheurs de Check Point ont déclaré avoir vu 969 transactions interceptées, notant que Twizt « peut fonctionner sans serveurs de commande et de contrôle actifs, lui permettant d’échapper aux mécanismes de sécurité », ce qui signifie que chaque ordinateur qu’il infecte peut élargir le botnet.
Au cours de la dernière année, ils ont vu 3,64 Bitcoin, 55,87 Ether et 55 000 $ en jetons ERC20 volés par les opérateurs Twizt, pour un montant d’environ 500 000 $. Dans un seul cas, 26 ETG ont été prélevés. Entre avril 2016 et novembre 2021, les robots Phorpiex ont détourné environ 3 000 transactions d’une valeur de près de 38 Bitcoin et 133 Ether. La société de cybersécurité a noté qu’il ne s’agissait que d’une partie des attaques en cours.
Phorpiex était à l’origine connu comme un botnet utilisé pour la sextorsion et le crypto-jacking, mais a évolué pour inclure un ransomware. Check Point a déclaré que Phorpiex fonctionnait depuis au moins 2016 et était initialement connu comme un botnet qui fonctionnait à l’aide du protocole IRC.
« En 2018-2019, Phorpiex est passé à une architecture modulaire et le bot IRC a été remplacé par Tldr – un chargeur contrôlé via HTTP qui est devenu un élément clé de l’infrastructure du botnet Phorpiex. Dans notre rapport de recherche Phorpiex Breakdown 2019, nous avons estimé que plus de 1 000 000 d’ordinateurs étaient infectés avec Tldr », a expliqué Check Point.
L’équipe Defender Threat Intelligence de Microsoft a publié un long article de blog en mai, avertissant que Phorpiex « a commencé à diversifier son infrastructure ces dernières années pour devenir plus résiliente et fournir des charges utiles plus dangereuses ».
En août, l’activité des serveurs de commande et de contrôle de Phorpiex a fortement chuté et l’une des personnes à l’origine du botnet a posté une annonce sur le darknet offrant le code source à la vente. Alexey Bukhteyev de Check Point a déclaré à The Record que même si les serveurs de commande et de contrôle étaient en panne, tout acheteur du code source pouvait configurer un nouveau botnet en utilisant tous les systèmes précédemment infectés.
On ne sait pas si le botnet a été réellement vendu, mais Check Point a déclaré que les serveurs de commande et de contrôle étaient de nouveau en ligne à une autre adresse IP en quelques semaines. Lorsque les serveurs de commande et de contrôle ont été redémarrés après leur interruption en août, ils ont commencé à distribuer Twizt, qui permet au botnet « de fonctionner avec succès sans serveurs de commande et de contrôle actifs, car il peut fonctionner en mode peer-to-peer ».
« Cela signifie que chacun des ordinateurs infectés peut agir comme un serveur et envoyer des commandes à d’autres robots d’une chaîne. Comme un très grand nombre d’ordinateurs sont connectés à Internet via des routeurs NAT et n’ont pas d’adresse IP externe, le Le bot Twizt reconfigure les routeurs domestiques qui prennent en charge UPnP et configure le mappage des ports pour recevoir les connexions entrantes », a expliqué Check Point.
« Le nouveau bot utilise son propre protocole binaire sur TCP ou UDP avec deux couches de cryptage RC4. Il vérifie également l’intégrité des données à l’aide de la fonction de hachage RSA et RC6-256. »
Maintenant, Check Point a déclaré que les nouvelles fonctionnalités de Twizt leur faisaient croire que le botnet « pourrait devenir encore plus stable et, par conséquent, plus dangereux ». Check Point a constaté que les attaques restent cohérentes même lorsque les serveurs de commande et de contrôle sont inactifs. Il y a eu une légère augmentation des attaques au cours des deux derniers mois, avec des incidents touchant 96 pays différents.
Alexander Chailytko, responsable de la recherche et de l’innovation en cybersécurité chez Check Point Software, a déclaré que la nouvelle variante de Phorpiex comporte deux risques principaux.
« Premièrement, Tiwzt est capable de fonctionner sans aucune communication avec C&C, il est donc plus facile d’échapper aux mécanismes de sécurité, tels que les pare-feu afin de causer des dommages. Deuxièmement, Twizt prend en charge plus de 30 portefeuilles de crypto-monnaie différents de différentes blockchains, y compris les principaux tels que Bitcoin, Ethereum, Dash, Monero », a déclaré Chailytko.
« Cela crée une énorme surface d’attaque, et fondamentalement, toute personne utilisant la cryptographie pourrait être affectée. J’exhorte fortement tous les utilisateurs de crypto-monnaie à vérifier les adresses de portefeuille qu’ils copient et collent, car vous pourriez très bien envoyer par inadvertance votre crypto dans le de mauvaises mains. »
Check Point a exhorté les propriétaires de crypto-monnaie à toujours vérifier les adresses d’origine et collées pour s’assurer qu’elles correspondent. Les gens devraient également envoyer des transactions de test avant toute transaction importante.
Dans le rapport, les chercheurs ont déclaré que le crypto-clipper Phorpiex prend en charge plus de 30 portefeuilles pour différentes blockchains. Ils ont également noté que les opérateurs de botnet peuvent être en Ukraine en raison de preuves indiquant que le bot ne s’exécute pas si l’abréviation locale par défaut de l’utilisateur est « UKR ».
Même s’il a servi à diverses fins, le rapport de Check Point indique que Phorpiex n’était à l’origine pas considéré comme un botnet sophistiqué.
« Tous ses modules étaient simples et exécutaient un nombre minimal de fonctions. Les versions antérieures du module Tldr n’utilisaient pas de chiffrement pour les charges utiles. Cependant, cela n’empêchait pas le botnet d’atteindre ses objectifs. Malware avec la fonctionnalité d’un ver ou un virus peut continuer à se propager de manière autonome pendant longtemps sans aucune autre implication de ses créateurs », a expliqué Check Point.
« Nous avons montré qu’une technique d’écrêtage de crypto-monnaie pour un botnet de cette envergure peut générer des bénéfices importants (des centaines de milliers de dollars américains par an) et ne nécessite aucun type de gestion via des serveurs de commande et de contrôle. Au cours de la dernière année, Phorpiex a reçu un important mise à jour qui l’a transformé en un botnet peer-to-peer, lui permettant d’être géré sans avoir d’infrastructure centralisée. Les serveurs de commande et de contrôle peuvent désormais changer leurs adresses IP et émettre des commandes, se cachant parmi les victimes du botnet.