Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Phorpiex, la botnet che invia 30.000 e-mail di sextortion l’ora: tutti i dettagli

La nuova variante della botnet Phorpiex integra uno spambot che consente ai criminal hacker di trasformare i computer zombie in proxy server per l’invio di oltre 30.000 e-mail di sextortion all’ora, a totale insapute dei proprietari dei PC infetti. Ecco tutto quello che c’è da sapere

16 Ott 2019

Si chiama Phorpiex (altrimenti nota come Trik) la botnet già attiva da una decina d’anni che è stata recentemente “aggiornata” dai criminal hacker e ora include un bot di spam progettato per utilizzare i computer già compromessi come proxy per inviare oltre 30.000 e-mail di sextortion all’ora, senza che i proprietari dei computer infetti ne siano a conoscenza.

La botnet Phorpiex consente già ai criminal hacker di controllare circa 450.000 computer in tutto il mondo utilizzati per diffondere ransomware e cryptominer. Con la nuova variante i malviventi possono ora sfruttarli anche per inviare e-mail di sextortion a milioni di persone innocenti.

Le attività malevoli della botnet sono state rilevate dai ricercatori di sicurezza di CheckPoint, secondo i quali il malware Phorpiex è la causa principale del notevole incremento di segnalazioni relative ai tentativi di frode online con cui i criminal hacker tentano di estorcere denaro alle loro vittime mediante ricatti sessuali effettuati attraverso finte e-mail minatorie o sui social network.

I dettagli tecnici della botnet Phorpiex

Dall’analisi pubblicata dai ricercatori di CheckPoint si evince che il modulo spambot di Phorpiex è stato progettato per scaricare l’elenco degli indirizzi e-mail dei suoi bersagli da un server di comando e controllo remoto e utilizza una semplice implementazione del protocollo SMTP (Simple Mail Transfer Protocol) per inviare e-mail di sextortion.

Una volta installato, il modulo spambot si collegherà ai server C&C del malware e tenterà di scaricare diversi database contenenti ciascuno fino a 20.000 indirizzi e-mail rubati. In alcune di queste campagne di spam sono stati individuati da 325 a 1.363 archivi di indirizzi di posta elettronica compromessi su un singolo server di comando e controllo: in questo modo, i criminal hacker sono in grado di sfruttare un PC infetto per produrre fino a 30.000 e-mail di spam all’ora e inviarle a 27 milioni di potenziali vittime della truffa del sextortion.

Un esempio di e-mail di sextortion diffusa dai criminal hacker utilizzando la botnet Phorpiex.

WHITEPAPER
Blockchain nel settore energetico: quali opportunità per lo scambio di energia P2P?
Blockchain
Utility/Energy

Inoltre, in alcune delle campagne malevoli sono stati utilizzati anche alcuni database contenenti le password associate agli indirizzi di posta elettronica compromessi e rubate in precedenti data breach. Queste password vengono aggiunte alle e-mail estorsive per aggiungere ulteriore legittimità alle rivendicazioni dei criminal hacker.

Il business “facile” dei ricatti sessuali

Monitorando le e-mail di sextortion distribuite mediante la botnet Phorpiex, i ricercatori di Check Point sono riusciti a calcolare il guadagno ottenuto dai criminal hacker a seguito dei ricatti sessuali alle loro vittime: dall’aprile 2019, i ricercatori hanno monitorato 74 indirizzi bitcoin e hanno registrato un totale di 157 pagamenti per un totale di 11.99545 bitcoin. Si tratta di circa 96mila dollari, ovvero circa 16.000 dollari al mese.

Una cifra relativamente bassa rispetto, ad esempio, ai 287.499 dollari di riscatto ottenuti in sole 72 ore dai criminal hacker che hanno diffuso il ransomware Sodinokibi.

C’è da dire, però, che la nuova campagna di sextortion non costa praticamente nulla agli attori della minaccia in quanto sfruttano una botnet già attiva che consente loro di “dedicarsi” ad attività sicuramente più redditizie come la diffusione di ransomware o cryptominer, assicurandosi allo stesso tempo un flusso costante di entrate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4