Check Point Research objevil novou variantu botnetu Phorpiex, který se zaměřoval zejména na vyděračské e-maily se sexuální tématikou a využíval počítače obětí ke generování kryptoměn. Nová varianta nazvaná Twizt nepotřebuje aktivní velící a řídící (C&C) server, takže každý infikovaný počítač může botnet dále rozšiřovat. Check Point odhaduje, že Twizt byl použit ke krádeži kyptoměn v hodnotě téměř půl milionu dolarů. Twizt má vylepšené funkce, proto je tento botnet ještě stabilnější, nebezpečnější a dokáže se vyhnout tradičním bezpečnostním mechanismům.

Twizt využívá techniku zvanou crypto clipping a krade kryptoměny v průběhu transakcí pomocí malwaru, který automaticky nahradí původní adresu peněženky adresou peněženky útočníků. Během jednoho roku, od listopadu 2020 do listopadu 2021, zneužil Twizt 969 transakcí a ukradeno bylo 3,64 bitcoinu, 55,87 etheru a 55 000 dolarů v tokenech ERC20, což by odpovídalo téměř půl milionu amerických dolarů. Největší jednorázová krádež byla 26 ETH.

„Nová varianta Phorpiexu přináší tři zásadní rizika. Za prvé, Twizt využívá peer-to-peer model a je schopen přijímat příkazy a aktualizace z tisíců dalších infikovaných počítačů. Peer-to-peer botnet je obtížnější odstavit a narušit jeho provoz. Twizt je proto stabilnější než předchozí verze Phorpiexu. Za druhé, stejně jako staré verze Phorpiexu, je i Twizt schopen krást kryptoměny bez jakékoli komunikace s velícím a řídícím serverem, proto je snazší se při útocích vyhnout bezpečnostním mechanismům, jako jsou firewally. A za třetí, Twizt podporuje více než 30 různých kryptoměnových peněženek z různých blockchainů, včetně těch hlavních, jako jsou Bitcoin, Ethereum, Dash nebo Monero. Terčem může být v podstatě každý uživatel kryptoměny. Pečlivě si kontrolujte adresy peněženek, ať vaše kryptoměny neskončí v nesprávných rukou,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies.

TZ

@RadekVyskovsky