Aquesta xarxa de bots ha estat operant des del 2016, i també ha estat involucrada en campanyes de sextorsió, criptomineria furtiva, etc.

La Cèl·lula d’Integració de Comunicacions i Ciberseguretat de Nova Jersey (NJCCIC per les sigles en anglès) ha informat que des de l’abril passat els actors d’amenaces han estat fent servir la xarxa de zombis Phorpiex per enviar milions de correus electrònics de pesca com a part d’una campanya de programari de segrest LockBit Black.

Aquest bot hauria estat actiu des d’almenys el 2016 i ha estat involucrat en campanyes d’inundació, de sextorsió, de criptomineria furtiva, substitució d’adreces de carteres de criptomonedes desades als blocs de notes per la dels atacants i atacs de programari de segrest.

L’agost de 2021 l’organització criminal que hi ha al darrere de la xarxa de zombis Phorpiex havia clausurat les seves operacions i posat a la venda el codi font del bot en un fòrum de pirates del web fosc. 

Això hauria facilitat que el desembre d’aquell any els experts de Check Point Research poguessin constatar el ressorgiment de la xarxa de zombis Phorpiex.

Com funciona la nova versió

La nova variant en mans d’aquests nous actors d’amenaces s’ha anomenat Twitzt i pot funcionar sense servidors C2 actius en mode d’igual a igual. Així, cada un dels equips infectats pot actuar com un servidor i enviar comandaments a altres bots en cadena. 

Les estimacions dels experts parlen que en un any aquesta variant va poder robar criptoactius per valor de mig milió de dòlars.

En uns correus electrònics s’incloïen arxius ZIP amb càrregues útils executables comprimides que, si s’executen, inicien el procés de xifratge amb el programari de segrest Lockbit Black, segons informa Security Affairs.

«Els casos observats associats amb aquesta campanya van estar acompanyats per la xarxa de zombis Phorpiex (Trik), que va lliurar càrrega útil del programari de segrest. Es van identificar més de 1.500 adreces IP d’enviament úniques, moltes de les quals estaven geolocalitzades al Kazakhstan, Uzbekistan, Iran, Rússia, Xina i altres països», afirma l’informe publicat per la NJCCIC. 

«Les IP identificades que allotjaven executables de LockBit van ser 193[.]233[.]132[.]177 i 185[.]215[.]113[.]66. Les línies de l’assumpte incloïen «el seu document» i «la teva foto???». Tots els correus electrònics associats van ser bloquejats o posats en quarantena, afegeix la Cèl·lula.