ハッカーは長期間にわたる Phorpiex (Trik) ボットネットを悪用し、大規模なランサムウェア、セクストーション、および暗号通貨窃取の操作を実行しています。これにより、Phorpiex はマルチ用途犯罪機械となっています。
Twizt バリエントとハイブリッド設計
新しいバリエーションである Twizt は、伝統的なコマンド&コントロール (C2) とピア・ツー・ピア (P2P) プロトコルを組み合わせたハイブリッドアーキテクチャを与えています。これにより、一部の C2 サーバがダウンしても Phorpiex は継続的に動作し、ボットは TCP および UDP を介して新しいペアとペイロードを直接交換できます。
Phorpiex の進化
Phorpiex(Trik)は、10 年以上前に始まったボットネットで、基本的なスパムやワームから高信頼性のプラットフォームへと進化し、マルウェアストレインを通じて被害者を収益化しています。
ランサムウェア配布の大規模化
最近のテレメトリは Phorpiex が高ボリュームのランサムウェアキャンペーンのローダーとして積極的に使用されていることを示しています。これには、LockBit Black と Global ファミリーのランサムウェアに関連するストレインも含まれています。
セクストーションスchemes
Phorpiex オペレーターは、Direct-to-MX スパムモジュールを展開し、C2 から約 10,000〜11,000 のメールアドレスリストを引き出し、セクストーションメッセージの波を送り出します。これらのメールは受信者の独自のアドレスを「From」フィールドに偽装して、ビットコインでの支払いを要求し、期限内に支払わなければ写真や動画が公開されるという脅迫を行います。
暗号通貨窃取
Phorpiex の最も利益の高い機能の一つは、暗号通貨窃取です。攻撃者は Windows クリップボードチェーンにハックし、クリップボード内のテキストを検査してウォレットアドレスパターンを探します。
拡散と堅牢性
Phorpiex は、感染した実行可能ファイル、USB ドライブやリモートドライブを通じたワームのような広がり、そして強力なメールスパムによって世界中で展開されています。