Un individu semble avoir détourné l’infrastructure back-end du botnet Phorpiex (Trik) et s’emploie à désinstaller le malware des appareils infectés, tout en affichant une fenêtre contextuelle conseillant aux utilisateurs d’installer un antivirus et de mettre à jour leurs ordinateurs, a appris ZDNet.
Les fenêtres pop up ont commencé à apparaître sur les écrans des utilisateurs jeudi matin sur la côte est des Etats Unis et ont été repérées par l’équipe de recherche du fournisseur d’antivirus Check Point.
Initialement, ZDNet et d’autres pensaient qu’il s’agissait d’une plaisanterie codée à l’intérieur du logiciel malveillant par l’équipe Phorpiex dans le but de se moquer des chercheurs en sécurité analysant le logiciel malveillant.
Cependant, au fil des heures, il est devenu clair que cela se produisait réellement sur les systèmes des utilisateurs infectés, dans le monde réel, et pas seulement dans les sandbox des analystes.
“C’est vraiment ce qui se produit chez les utilisateurs infectés “, a déclaré à ZDNet Yaniv Balmas, responsable de la recherche à Check Point. “Nous surveillons de près cette famille de logiciels malveillants et avons remarqué que ce comportement a commencé il y a quelques heures à peine.”
Balmas a énuméré plusieurs théories sur ce qui aurait pu se produire : les opérateurs de logiciels malveillants pourraient avoir décidé de quitter et de fermer le botnet selon leurs propres conditions, une action des autorités, un chercheur en sécurité décidant de résoudre le problème par lui-même, ou un gang de malware rival souhaitant saboter le groupe à l’origine de Phorpiex en détruisant leur botnet.
publicité
Très probablement un détournement
“Le détournement semble la piste la plus probable si on se base sur les antécédents du développeur de Phorpiex”, a déclaré un second analyste de logiciels malveillants, qui a refusé que son nom soit utilisé dans cet article parce qu’il n’était pas autorisé à parler au nom de son entreprise – un autre fournisseur d’antivirus.
“Le développeur de Phorpiex a des rivaux assez méchants dans le secteur des botnets, donc cela ne me surprendrait pas s’il s’agissait d’une attaque motivée par la jalousie ou quelque chose du genre”, a-t-il ajouté.
“Le développeur du botnet Phorpiex est extrêmement paresseux et négligent”, a déclaré l’analyste de malware, affirmant qu’il aurait pu lui-même détourner le botnet dans le passé en raison de son mécanisme de commande et de contrôle simplifié basé sur IRC.
Ce même botnet a subi une fuite de données en 2018
Le malware Phorpiex, qui est actif depuis plus d’une décennie, a subi des failles de sécurité dans le passé, également en raison de la négligence du développeur du malware.
En 2018, le développeur Phorpiex a laissé l’un des serveurs principaux de commande et de contrôle du botnet exposé en ligne, et les chercheurs en sécurité ont pu récupérer une liste de 43,5 millions d’adresses e-mail que l’équipe Phorpiex ciblait avec des campagnes de spam.
Phorpiex est l’un des botnets de spam les plus actifs d’aujourd’hui. Le groupe à l’origine de Phorpiex opère en infectant les ordinateurs Windows et en utilisant ces systèmes comme des robots de spam pour envoyer des campagnes de spam massives.
Ces campagnes de spam maintiennent le botnet de spam en vie, en infectant de nouveaux PC avec Phorpiex, mais elles envoient également des campagnes de spam personnalisées pour le compte d’autres groupes de cybercriminels – la méthode par laquelle le groupe Phorpiex gagne de l’argent.
La personne qui a détourné le botnet aujourd’hui et a ordonné aux bots de se désinstaller s’est mis à rogner les bénéfices et les opérations futurs du gang Phorpiex. Pour donner une idée de la taille des profits que le groupe de Phorpiex a perdu, Check Point a précédemment rapporté que le même botnet avait généré 115000 $ en cinq mois rien qu’avec des e-mails de spam de sextorsion.
Source : ZDNet.com
Commentaires