La botnet Phorpiex è stata recentemente utilizzata in una campagna di phishing massiccia, in cui sono stati inviati milioni di e-mail al fine di distribuire il ransomware LockBit Black. Questa campagna è stata segnalata dalla Cybersecurity and Communications Integration Cell (NJCCIC) del New Jersey, che ha individuato l’uso continuo di Phorpiex a partire da aprile.
Phorpiex non è nuova a queste attività, essendo attiva almeno dal 2016 e coinvolta in varie attività criminali, tra cui spam sextortion, crypto-jacking e attacchi ransomware. Anche se sembrava aver cessato le operazioni nell’agosto 2021, l’organizzazione criminale dietro Phorpiex ha recentemente fatto ritorno, con una nuova variante chiamata “Twizt”, che sembra funzionare in modalità peer-to-peer senza la necessità di server C2 attivi. Ciascuno dei computer infetti può svolgere il ruolo di server, permettendo così l’invio di comandi ad altri bot in una catena. Gli esperti ritengono che, nell’arco di un anno, siano state rubate criptovalute per un valore stimato di 500.000 dollari.
Le e-mail inviate in questa campagna di phishing contengono allegati ZIP e provengono dagli indirizzi “JennyBrown3422[@]gmail[.]com” e “Jenny[@]gsd[.]com”. Gli allegati ZIP contengono un payload eseguibile compresso che, se avviato, avvia il processo di crittografia con il ransomware LockBit Black.
L’NJCCIC ha identificato oltre 1.500 indirizzi IP di invio univoci coinvolti in questa campagna, molti dei quali geolocalizzati in diversi paesi, tra cui Kazakistan, Uzbekistan, Iran, Russia e Cina. Alcuni degli indirizzi IP che ospitavano gli eseguibili LockBit sono stati individuati come 193[.]233[.]132[.]177 e 185[.]215[.]113[.]66. Le righe dell’oggetto delle e-mail includevano frasi suggestive come “il tuo documento” e “foto di te???”. Tutte le e-mail associate a questa campagna sono state bloccate o messe in quarantena.
https://securityaffairs.com/163109/malware/phorpiex-botnet-lockbit-black-ransomware.html