Check Point araştırmacıları, Phorpiex botnet’in kripto para kullanıcılarını hedef alan ve “kripto para birimi kırpma” adı verilen bir teknikle fon çalmayı hedefleyen yeni bir çeşidini gözlemledi.
Phorpiex, 2016’dan beri bilinen bir tehdittir ve öncelikle kripto hırsızlığı, fidye yazılımı, kripto para birimi kırpma ve cinsel taciz spam kampanyaları yürütür. Check Point Araştırma ekibine göre, geçtiğimiz yaz botnet’in komuta ve kontrol (C2) sunucu etkinliği düştü. C2 sunucuları Temmuz 2021’de kapatıldı; Ağustos ayında sahiplerinden yapılan bir duyuru, Phorpiex’in iflas ettiğini söyledi.
İki haftadan kısa bir süre sonra, C2 sunucuları daha önce hiç görülmemiş bir bot yayarak farklı bir IP adresi altında tekrar çevrimiçi oldu. Araştırmacılar, “Twizt” olarak adlandırılan bu botun, eşler arası modda çalışabildiği için botnet’in aktif C2 sunucuları olmadan çalışmasını sağladığını açıklıyor. Etkilenen her makine bir sunucu gibi davranabilir ve bir zincirdeki diğer botlara komut gönderebilir.
Check Point’in telemetrisi, C2 sunucuları etkin olmadığında bile devam eden “neredeyse sabit sayıda Phorpiex kurbanı” ortaya çıkardı. Tehdit 96 ülkede görüldü ve kurbanların çoğu Etiyopya, Nijerya ve Hindistan’da. Araştırmacılar, son iki ayda sayıların artmaya başladığını bildirdi.
Para kazanma yöntemleri aynıdır. Botnet, kripto para birimi kırpma veya kripto kırpma, saldırganların bir işlem sırasında panoya kaydedilen orijinal cüzdan adresini cüzdan adresleriyle değiştirerek kripto para birimini çaldığı bir yöntem kullanır. Uzun bir kripto para cüzdan adresini kopyalayıp yapıştırmak için panoyu kullanmanın yaygın olduğunu söylüyorlar.
Araştırmacılar blog yazılarında “Bir kötü amaçlı yazılım kripto kırpma işlevini uygularsa, herhangi bir C&C sunucusu olmadan başarılı bir şekilde çalışabilir” diye yazdı. “Dolayısıyla, Phorpiex C&C sunucuları çöktüğünde, yüz binlerce bot kurulu kaldığı ve kurbanların parasını çalmaya devam ettiği için kesinti süresi olmuyor.”
Phorpiex kripto kırpıcı tarafından kullanılan 60 Bitcoin cüzdanı ve 37 Ethereum cüzdanı buldular. Kasım 2021’de sona eren bir yıllık dönemde, Phorpiex botları 969 işlemi ele geçirdi ve 3.64 Bitcoin, 55.87 Ether ve ERC20 tokenlerinde 55.000 dolar çaldı. Bu çalıntı tutarların cari fiyatlarla değeri yaklaşık 500.000 ABD dolarıdır.
Check Point’leri okuyun tam yazma daha fazla ayrıntı için.