Аналитики Check Point заметили, что некто, похоже, захватил бэкэнд-инструктуру ботнета Phorpiex (Trik) и теперь удаляет спамерскую малварь с зараженных хостов, предупреждая жертв о происходящем.
Всплывающие окна с предупреждением о заражении начали показываться пользователям утром 23 января 2020 года. Сначала исследователи и журналисты решили, что это какая-то шутка от разработчиков малвари Phorpiex, и таким образом они пытаются троллить ИБ-специалистов. Но вскоре стало ясно, что то же самое происходит и на машинах рядовых пользователей, и всплывающее окно появляется не только на виртуальных машинах, используемых в качестве «песочниц» для анализа малвари.
Эксперты Check Point пообщались с журналистами издания ZDNet и выдвинули несколько теорий о том, как подобное могло произойти. К примеру, операторы малвари могут сами сворачивать работу ботнета столь необычным образом; управлением ботнетом могли перехватить правоохранительные органы или ИБ-эксперт, решивший помочь пострадавшим; ботнет могла захватить конкурирующая хак-группа и теперь пытается саботировать работу Phorpiex.
Еще один ИБ-специалист, пожелавший остаться неназванным, подтвердил журналистам, что у разработчиков Phorpiex действительно есть несколько серьезных конкурентов, которые могли бы пойти на подобный шаг.
«Разработчик ботнета Phorpiex чрезвычайно ленив и небрежен», — говорит анонимный аналитик, утверждая, что в прошлом захватить ботнет было совсем нетрудно из-за его упрощенного управляющего механизма на основе IRC.
Напомню, что Phorpiex — один из наиболее активных спамерских ботнетов на сегодняшний день. Phorpiex заражает машины под управлением Windows и использует их в качестве спам-ботов для рассылки сообщений. Такие спам-кампании обеспечивают постоянную поддержку и рост ботнета, заражая все новые машины, но также они приносят операторам малвари прибыль: другие хак-группы пользуются услугами ботнета Phorpiex, команда которого зарабатывает таким образом деньги.
По подсчетам аналитиков Check Point, осенью 2019 года в ботнет Phorpiex входили примерно 450 000 зараженных компьютеров. В числе прочего операторы ботнета занимаются и так называемым с «сексуальным вымогательством». В английском языке для обозначения такой активности используют термин sextortion, образованный от слов sex («секс») и extortion («вымогательство»). Данная тактика подразумевает запугивание пользователей: мошенники рассылают спам, в котором пытаются убедить своих жертв, что у них есть некие компрометирующие изображения или видео, и требуют выкуп.
Только массовые рассылки sextortion-спама насчитывали до 27 миллионов электронных писем за одну кампанию (то есть некоторые зараженные Phorpiex машины рассылали до 30 000 вредоносных электронных писем в час). За пять месяцев наблюдений аналитики Check Point отследили более 14 биткоинов (примерно 115 000 долларов), которые жертвы вымогательства перевели в качестве выкупов операторам Phorpiex.