24 ene. 2020

Alguien controla la botnet Phorpiex y educa a usuarios para que aseguren sus equipos.

Parece que alguien ha secuestrado la infraestructura de back-end de la botnet Phorpiex (Trik) y está desinstalando este malware, especializado en envío de spam, de los hosts infectados, mientras que también muestra un mensaje que les dice a los usuarios que instalen un antivirus y actualicen sus computadoras.

Las ventanas emergentes han comenzado a aparecer en las pantallas de los usuarios y han sido detectadas por el equipo de investigación del proveedor de antivirus Check Point.
Inicialmente, pensaron que se trataba de una broma codificada dentro del malware por el equipo de Phorpiex con el propósito de controlar a los investigadores de seguridad que analizan el malware.

Sin embargo, a medida que pasaban las horas, quedó claro que esto realmente estaba ocurriendo en los sistemas de los clientes, en el mundo real, y no era solo una ventana emergente que aparecía en máquinas virtuales utilizadas como entornos limitados de análisis de malware.

"Esto realmente está sucediendo. Estamos monitoreando de cerca esta familia de malware y hemos notado que este comportamiento comenzó hace solo unas horas", dijo a ZDNet Yaniv Balmas, Jefe de Investigación Cibernética en Check Point.

Balmas enumeró varias teorías sobre lo que podría haber sucedido, como los operadores de malware que decidieron abandonar y cerrar la botnet en sus propios términos, una acción de aplicación de la ley, un investigador de seguridad "vigilante" que tomó el asunto en sus propias manos o una pandilla de malware rival saboteando a Phorpiex y destruyendo su botnet.


"Parece probable que el secuestro se base en el historial del desarrollador de Phorpiex", dijo un segundo analista de malware, que se negó a usar su nombre. "El desarrollador de Phorpiex tiene algunos rivales bastante desagradables en el juego de botnet, por lo que no me sorprendería si se trata de un ataque motivado por los celos o algo por el estilo", agregó.

"El desarrollador de la botnet Phorpiex es extremadamente vago y descuidado", dijo el analista de malware, afirmando que también podría haber secuestrado la botnet en el pasado debido a su mecanismo simplista de comando y control basado en IRC.
La misma botnet sufrió una violación de datos en 2018

El malware Phorpiex, que ha estado activo durante más de una década, ha sufrido violaciones de seguridad en el pasado, también debido al descuido del desarrollador de malware. En 2018, el desarrollador de Phorpiex dejó uno de los servidores backend de C&C de la botnet expuesto en línea, y los investigadores de seguridad pudieron recuperar una lista de 43.5 millones de direcciones de correo electrónico a las que el equipo de Phorpiex estaba apuntando con campañas de spam.

Phorpiex es una de las botnets de spam más activas de la actualidad. El equipo de Phorpiex opera infectando computadoras con Windows y utilizando estos sistemas como bots de spam para enviar campañas masivas de correo.

Estas campañas de spam mantienen viva la red de bots de spam, al infectar nuevas PC con Phorpiex, pero también envían campañas de spam personalizadas en nombre de otros grupos de delincuentes, el método a través del cual el equipo de Phorpiex gana su dinero.

Quien haya secuestrado la red de bots hoy e instruido a los bots para que se desinstalen, ha afectado seriamente las futuras ganancias y operaciones de la pandilla Phorpiex. Para dar una idea sobre el tamaño de las ganancias que perdió el equipo de Phorpiex, Check Point informó anteriormente que la misma red de bots ganó U$S115.000 en cinco meses solo por correos electrónicos de extorsión.

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!