С апреля этого года через ботнет Phorpiex были разосланы миллионы фишинговых писем в рамках масштабной кампании с использованием вымогательского ПО LockBit Black. Об этом предупредилЦентр интеграции кибербезопасности и коммуникаций Нью-Джерси (NJCCIC).
Злоумышленники чаще всего отправляют письма с темами “your document” и “photo of you???” от имени “Jenny Brown” или “Jenny Green”. Вложения содержат ZIP-архив с исполняемым файлом, который при запуске устанавливает LockBit Black на системы получателей, шифруя все их данные.
LockBit Black, используемый в этой атаке, вероятно, создан на основе LockBit 3.0, утекшего в сеть в сентябре 2022 года. Однако текущая кампания не связана с оригинальной группировкой LockBit.
Письма отправляются с более чем 1500 уникальных IP-адресов по всему миру, включая Казахстан, Узбекистан, Иран, Россию и Китай.
Атака начинается с открытия получателем вредоносного ZIP-архива и запуска исполняемого файла. Этот файл загружает LockBit Black из инфраструктуры ботнета Phorpiex и выполняет его на системе жертвы. Вымогательское ПО крадёт конфиденциальные данные, завершает работу некоторых системных служб и шифрует файлы.
Компания Proofpoint, занимающаяся расследованием этих атак с 24 апреля, сообщила,что злоумышленники нацелены на компании в различных отраслях по всему миру. Несмотря на невысокую сложность операции, её масштаб и использование вымогательского ПО как начальной загрузки качественно выделяют эту вредоносную кампанию.
“С 24 апреля и в течение недели Proofpoint наблюдала масштабные кампании с миллионами сообщений, распространяемых через ботнет Phorpiex и доставляющих LockBit Black”, – заявили исследователи Proofpoint. “Это первый случай, когда мы наблюдаем такие объёмы доставки LockBit Black через Phorpiex”.
Ботнет Phorpiex, также известный как Trik, активен уже более десяти лет. Изначально это был червь, распространявшийся через USB-устройства, чаты Skype и Windows Live Messenger, а затем превратился в троян, контролируемый через IRC и распространяющий спам.
Со временем ботнет существенно увеличился количественно, контролируя более миллиона заражённых устройств, однако затем его инфраструктура была отключена, после чего исходный код проекта был выставлен на продажу. Причиной продажи один из авторов ботнета назвал смещение интересов разработчиков, более незаинтересованных в поддержке и развитии Phorpiex.
Ранее ботнет Phorpiex также использовался для рассылки миллионов писем с угрозами и спамом, а также внедрения вредоносного модуля, заменяющего криптовалютные адреса в буфере обмена Windows на контролируемые злоумышленниками.
Для защиты от фишинговых атак NJCCIC рекомендует использовать стратегии снижения риска, решения для защиты конечных точек и фильтрацию электронной почты.