Η Check Point Research (CPR) εντόπισε μια νέα παραλλαγή του Phorpiex, ενός botnet γνωστού για sextortion και crypto-jacking. Η νέα παραλλαγή, που ονομάζεται Twizt, λειτουργεί χωρίς ενεργούς διακομιστές διοίκησης και ελέγχου, πράγμα που σημαίνει ότι κάθε υπολογιστής που μολύνει μπορεί να διευρύνει το botnet. Η CPR εκτιμά ότι το Twizt έχει κλέψει κυπτονομίσματa αξίας σχεδόν μισού εκατομμυρίου δολαρίων. Τα νέα χαρακτηριστικά του Twizt οδήγησαν τη CPR να πιστεύει ότι το botnet μπορεί να γίνει ακόμη πιο σταθερό και, ως εκ τούτου, πιο επικίνδυνο.
Πώς λειτουργεί το Twizt
Το Twizt αξιοποιεί μια τεχνική που ονομάζεται “cryptoclipping”, η οποία είναι η κλοπή κρυπτονομισμάτων κατά τη διάρκεια συναλλαγών μέσω της χρήσης κακόβουλου λογισμικού που αντικαθιστά αυτόματα τη διεύθυνση πορτοφολιού που προοριζόταν με τη διεύθυνση πορτοφολιού του δράστη. Αυτό έχει ως αποτέλεσμα τα ποσά να πηγαίνουν σε λάθος χέρια.
Τα Θύματα
Σε διάστημα ενός έτους, από τον Νοέμβριο του 2020 έως τον Νοέμβριο του 2021, τα Phorpiexbotsυπέκλεψαν 969 συναλλαγές, κλέβοντας 3,64 Bitcoin, 55,87 Etherκαι 55.000 δολάρια σε ERC20 tokens. Η αξία των κλοπιμαίων σε τρέχουσες τιμές είναι σχεδόν μισό εκατομμύριο δολάρια ΗΠΑ. Αρκετές φορές το Phorpiex κατάφερε να υποκλέψει μεγάλα ποσά συναλλαγών. Το μεγαλύτερο ήταν 26 ETHποσό για μια συναλλαγή Ethereum.
Σχόλιο: Alexander Chailytko, Cyber Security Research & Innovation Manager στην Check Point Software:
“Υπάρχουν τρεις βασικοί κίνδυνοι που ενέχει η νέα παραλλαγή του Phorpiex. Πρώτον, το Twiztχρησιμοποιεί το μοντέλο peer-to-peerκαι είναι σε θέση να λαμβάνει εντολές και ενημερώσεις από χιλιάδες άλλα μολυσμένα μηχανήματα. Ένα botnet peer-to-peerείναι πιο δύσκολο να καταστραφεί και να διακοπεί η λειτουργία του. Αυτό καθιστά το Twiztπιο σταθερό από τις προηγούμενες εκδόσεις των botτου Phorpiex. Δεύτερον, όπως και οι παλιές εκδόσεις του Phorpiex, το Twiztείναι σε θέση να κλέβει κρυπτονομίσματα χωρίς καμία επικοινωνία με το C&C, επομένως, είναι ευκολότερο να παρακάμψει μηχανισμούς ασφαλείας, όπως firewalls, προκειμένου να κάνει ζημιά. Τρίτον, το Twiztυποστηρίζει περισσότερα από 30 διαφορετικά πορτοφόλια κρυπτονομισμάτων από διαφορετικά blockchains, συμπεριλαμβανομένων των σημαντικότερων, όπως Bitcoin, Ethereum, Dash, Monero. Αυτό δημιουργεί ένα τεράστιο εύρος επίθεσης, και ουσιαστικά θα μπορούσε να επηρεαστεί οποιοσδήποτε χρησιμοποιεί κρυπτογράφηση. Προτρέπω έντονα όλους τους χρήστες κρυπτονομισμάτων να ελέγχουν διπλά τις διευθύνσεις πορτοφολιών που αντιγράφουν και επικολλούν, καθώς θα μπορούσαν εύκολα να στείλουν κατά λάθος τα κρυπτονομίσματά τους σε λάθος χέρια”.
Συμβουλές ασφαλείας
– Ελέγξτε τη διεύθυνση πορτοφολιού.Όταν οι χρήστες αντιγράφουν και επικολλούν μια διεύθυνση ενός cryptowallet, πρέπει να ελέγχουν πάντα δύο φορές ότι η αρχική και η επικολλημένη διεύθυνση είναι η ίδια.
– Δοκιμάστε τις συναλλαγές.Πριν από την αποστολή μεγάλων ποσών κρυπτονομισμάτων, χρειάζεται να γίνεται πρώτα μια δοκιμαστική συναλλαγή με ελάχιστο ποσό.
– Μείνετε ενημερωμένοι.Το λειτουργικό σύστημα πρέπει να είναι ενημερωμένο και να μην κατεβάζουν λογισμικό από μη επαληθευμένες πηγές.
– Παραλείψτε τις διαφημίσεις.Στην αναζήτηση για πορτοφόλια ή πλατφόρμες συναλλαγών και ανταλλαγών κρυπτονομισμάτων, πρέπει πάντα να επιλέγουν τον πρώτο ιστότοπο στην αναζήτησή και όχι τις διαφημίσεις. Αυτές μπορεί να είναι παραπλανητικές, καθώς η CPRέχει βρει πολλές διατιμήσεις στο google, που στόχο έχουν να αποσπάσουν χρηματικά ποσά.
– Παρατηρήστε τις διευθύνσεις URL.Πρέπει πάντα να ελέγχουν δυο φορές τις διευθύνσεις URL!