Ботнет Phorpiex рассылает 30 000 вымогательских писем в час

Специалисты компании Check Point рассказали, что им удалось обнаружить одну из причин роста количества спамерских писем, связанных с так называемым с «сексуальным вымогательством». В английском языке для обозначения такой активности используют термин sextortion, образованный от слов sex («секс») и extortion («вымогательство»). Данная тактика подразумевает запугивание пользователей: мошенники рассылают спам, в котором пытаются убедить своих жертв, что у них есть некие компрометирующие изображения или видео, и требуют выкуп.

Как оказалось, сексуальным вымогательством активно занимаются операторы ботнета Phorpiex (он же Trik). Исследователи пишут, что массовые рассылки насчитывают до 27 миллионов электронных писем за одну кампанию, то есть некоторые зараженные Phorpiex машины рассылали до 30 000 вредоносных электронных писем в час. За пять месяцев наблюдений аналитики Check Point отследили более 14 биткоинов (примерно 115 000 долларов), которые жертвы вымогательства перевели в качестве выкупов операторам Phorpiex.

В настоящее в ботнет Phorpiex входят примерно 450 000 зараженных компьютеров под управлением Windows. Интересно, что впервые Phorpiex был обнаружен более десяти лет назад. На заре своего существования малварь работала как червь, который распространялся через съемные USB-накопители и устройства хранения данных, а также через личные сообщения Skype и Windows Live Messenger. Эти первоначальные варианты вредоноса в основном отслеживались под именем Phorpiex, тогда как в настоящее время ботнет чаще называют Trik.

С самого начала Phorpiex использовал зараженные компьютеры для рассылки спама, а не для кражи данных с зараженных хостов и не для развертывания малвари второго уровня, за что операторы ботнета могли бы брать деньги. За свою весьма долгую историю Phorpiex занимался распространением практически всех основных видов вредоносных программ: от банковских троянов до вымогателей, от инфостилеров до фармацевтического спама. В этом свете совсем неудивительно, что теперь операторы ботнета обратили свое внимание на сексуальное вымогательство, ведь сейчас это весьма популярный тренд в преступном мире.

Интересной особенностью вымогательских кампаний Phorpiex является то, что в своих посланиях злоумышленники не просто утверждают, будто у них есть компрометирующие жертву видео, но также и ее пароли. В качестве доказательства, вымогатели приводят в письме один из паролей пользователя.

Неизвестно, откуда именно мошенники берут учтенные данные своих жертв, но исследователи отмечают, что все email-адреса, на которые рассылается вымогательский спам, можно обнаружить в базах агрегатора утечек Have I Been Pwned. То есть ранее эти пользователи были жертвами утечек данных. Очевидно, в распоряжении злоумышленников есть немало утекших когда-то БД, откуда те и черпают информацию.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Хорошая история. Интересная.

    мошенники рассылают спам, в котором пытаются убедить своих жертв, что у них есть некие компрометирующие изображения или видео

    Картинки-то хоть показывают?

    в ботнет Phorpiex входят примерно 450 000 зараженных компьютеров под управлением Windows

    Это весело.

    впервые Phorpiex был обнаружен более десяти лет назад

    А как он такой живучий оказался? С ним что, всерьёз не боролись что ли?

  • Все немного прозаичнее, используется скомпрометированный пароль, либо его часть, от других ресурсов. Тоже такое прилетало, забавный момент :)